Dust Specter Serang Pejabat Irak dengan Malware Baru SPLITDROP dan GHOSTFORM
Dust Specter, kelompok ancaman yang diduga memiliki hubungan dengan Iran, kembali melakukan serangan siber dengan target pejabat pemerintah Irak. Kampanye ini menggunakan teknik penyamaran sebagai Kementerian Luar Negeri Irak untuk menyebarkan malware baru yang sebelumnya belum pernah terdeteksi, menurut laporan dari Zscaler ThreatLabz yang mengamati aktivitas ini pada Januari 2026.
Modus Operandi dan Malware Baru yang Digunakan
Kampanye ini menggunakan dua rantai infeksi utama yang berujung pada penyebaran malware bernama SPLITDROP, TWINTASK, TWINTALK, serta GHOSTFORM. Peneliti keamanan Sudeep Singh menjelaskan bahwa Dust Specter menerapkan jalur URI acak untuk komunikasi command-and-control (C2), dengan checksum untuk memastikan permintaan berasal dari sistem yang terinfeksi. Selain itu, server C2 juga memakai teknik geofencing dan verifikasi User-Agent untuk menghindari deteksi.
Salah satu aspek penting dari kampanye ini adalah kompromi infrastruktur terkait pemerintah Irak yang digunakan untuk menampung payload berbahaya. Selain itu, teknik evasi canggih turut diterapkan untuk menunda eksekusi malware dan menghindari deteksi oleh sistem keamanan.
Rantai Infeksi Pertama: SPLITDROP, TWINTASK, dan TWINTALK
Serangan dimulai dengan berkas RAR berpassword yang berisi dropper .NET bernama SPLITDROP. Dropper ini bertugas mengaktifkan modul pekerja TWINTASK dan pengatur C2 TWINTALK.
TWINTASK berupa DLL berbahaya bernama libvlc.dll yang dimuat melalui proses sideload oleh binary asli vlc.exe. Modul ini secara periodik mengecek file in.txt untuk perintah baru yang dijalankan menggunakan PowerShell, termasuk perintah untuk mempertahankan keberadaan malware melalui perubahan registry Windows. Output dan error disimpan dalam out.txt.
Saat diluncurkan pertama kali, TWINTASK juga mengeksekusi binary asli lain bernama WingetUI.exe yang memuat DLL TWINTALK (hostfxr.dll). TWINTALK bertugas berkomunikasi dengan server C2 untuk menerima perintah baru, mengkoordinasi tugas dengan TWINTASK, dan mengirim hasilnya kembali ke server. Fitur unggulannya termasuk kemampuan mengunduh dan mengunggah berkas serta menulis isi perintah ke in.txt.
Rantai Infeksi Kedua: Evolusi dengan GHOSTFORM
Rantai serangan kedua merupakan pengembangan dari yang pertama, menggabungkan fungsi TWINTASK dan TWINTALK ke dalam satu binary bernama GHOSTFORM. Malware ini menjalankan perintah dari server C2 secara langsung di memori dengan PowerShell tanpa menulis file ke disk, sehingga lebih sulit terdeteksi.
Salah satu ciri unik GHOSTFORM adalah beberapa binary mengandung URL Google Forms yang diprogram secara hard-coded dan otomatis dibuka di browser default saat malware dijalankan. Formulir ini menggunakan bahasa Arab dan berpura-pura sebagai survei resmi dari Kementerian Luar Negeri Irak, sebagai bagian dari teknik sosial engineering.
Penggunaan AI dan Taktik Sosial Engineering
Analisis kode sumber TWINTALK dan GHOSTFORM menunjukkan adanya placeholder, emoji, dan teks Unicode yang mengindikasikan penggunaan alat kecerdasan buatan (AI) generatif dalam pengembangan malware ini. Hal ini menandai tren baru dalam pembuatan malware yang semakin canggih dan otomatis.
Domain C2 meetingapp[.]site yang terhubung dengan TWINTALK juga pernah digunakan Dust Specter dalam kampanye Juli 2025 untuk meng-host halaman undangan palsu rapat Cisco Webex. Pengguna diminta menyalin dan menjalankan skrip PowerShell, yang kemudian membuat folder dan mengunduh payload berbahaya untuk dijalankan secara berkala melalui penjadwalan tugas Windows. Taktik ini mirip dengan metode social engineering gaya ClickFix yang semakin marak.
Koneksi Iran dan Dampak Terhadap Keamanan Irak
Hubungan Dust Specter dengan Iran didasarkan pada sejarah kelompok peretas Iran yang memanfaatkan backdoor .NET ringan untuk mencapai tujuan mereka. Penggunaan infrastruktur pemerintah Irak yang sudah dikompromikan menandai pola yang sama dengan kampanye-kampanye sebelumnya dari kelompok seperti OilRig (atau dikenal juga sebagai APT34).
"Kampanye ini, yang dengan keyakinan sedang hingga tinggi diatribusikan ke Dust Specter, kemungkinan menargetkan pejabat pemerintah menggunakan umpan sosial engineering yang meyakinkan dengan menyamar sebagai Kementerian Luar Negeri Irak," ungkap Zscaler.
Aktivitas ini juga mencerminkan tren luas yang melibatkan teknik sosial engineering ClickFix dan penggunaan AI generatif dalam pengembangan malware.
Analisis Redaksi
Menurut pandangan redaksi, serangan Dust Specter ini menunjukkan eskalasi kemampuan kelompok peretas berafiliasi Iran dalam memanfaatkan teknik canggih dan inovatif, termasuk penggunaan AI untuk memperkuat malware mereka. Target utama yang merupakan pejabat pemerintah Irak menandakan upaya spionase dan sabotase yang sistematis untuk mengganggu stabilitas negara tersebut.
Penggunaan infrastruktur pemerintah yang sudah dikompromikan sebagai staging area payload berbahaya menimbulkan kekhawatiran serius terhadap keamanan siber nasional Irak. Ini mengindikasikan bahwa keamanan jaringan pemerintahan masih rentan terhadap infiltrasi yang dapat berakibat kebocoran data sensitif dan gangguan operasional.
Ke depan, penting bagi pemerintah Irak dan negara-negara sekitarnya untuk meningkatkan pertahanan siber, melakukan pelatihan kesadaran keamanan bagi para pejabat, dan memperketat pengawasan terhadap aktivitas jaringan. Selain itu, tren pemanfaatan AI dalam malware harus menjadi perhatian utama komunitas keamanan global karena dapat mempercepat perkembangan serangan yang lebih sulit dideteksi dan diatasi.
Untuk perkembangan terkini tentang ancaman siber di kawasan ini dan strategi mitigasinya, tetap ikuti update dari sumber terpercaya seperti Zscaler dan lembaga keamanan siber internasional.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
