Varian Baru LOTUSLITE Mustang Panda Serang Bank India dan Lingkaran Kebijakan Korsel

Mustang Panda, kelompok yang dikenal melakukan serangan siber berbasis spionase, kembali melancarkan kampanye baru dengan varian malware LOTUSLITE yang telah diperbarui dan kini menargetkan sektor perbankan di India serta lingkaran kebijakan di Korea Selatan dan Amerika Serikat.

Peneliti keamanan siber dari Acronis, Subhajeet Singha dan Santiago Pontiroli, mengungkapkan bahwa varian terbaru LOTUSLITE ini menggunakan file Compiled HTML (CHM) sebagai media awal infeksi, dengan metode DLL side-loading untuk menjalankan payload berbahaya secara tersembunyi.

LOTUSLITE: Dari Geopolitik AS-Venezuela ke Perbankan India

LOTUSLITE sebelumnya sudah dikenal sebagai malware yang digunakan dalam serangan spear-phishing yang menargetkan entitas pemerintah dan kebijakan di Amerika Serikat. Serangan tersebut memanfaatkan tema geopolitik antara AS dan Venezuela sebagai kedok untuk menarik korban.

"Backdoor berkomunikasi dengan server command-and-control berbasis DNS dinamis melalui HTTPS dan mendukung akses shell jarak jauh, operasi file, serta manajemen sesi, menandakan kemampuan spionase berkelanjutan dan bukan bertujuan finansial," jelas tim Acronis.

Dalam kampanye terbaru, Mustang Panda mengubah fokus geografisnya dengan menargetkan sektor perbankan India, terutama melalui referensi ke HDFC Bank dan tampilan pop-up yang menyerupai perangkat lunak perbankan resmi. Meski demikian, taktik operasional dan infrastruktur malware masih mempertahankan pola yang sama.

Teknik Serangan: CHM dan DLL Side-Loading

Serangan dimulai dengan file CHM yang mengandung payload berbahaya, yakni sebuah executable asli dan DLL palsu. Ketika pengguna mengklik "Ya" pada pop-up yang muncul, JavaScript malware diunduh secara diam-diam dari server cosmosmusic[.]com. Script ini bertugas mengekstrak dan menjalankan malware melalui metode DLL side-loading menggunakan file bernama dnx.onecore.dll, versi terbaru LOTUSLITE.

DLL tersebut kemudian berkomunikasi dengan domain editor.gleeze[.]com untuk menerima perintah dan mengirimkan data hasil pencurian ke server pengendali.

Perluasan Target ke Korea Selatan dan Lingkaran Kebijakan AS

Selain India, analisis lebih lanjut mengungkap bahwa Mustang Panda juga menargetkan individu di Korea Selatan yang berkecimpung dalam kebijakan dan diplomasi, khususnya yang berfokus pada urusan Semenanjung Korea, kebijakan Korea Utara, dan dialog keamanan Indo-Pasifik.

"Kami percaya kelompok ini menargetkan entitas tertentu di komunitas diplomatik dan kebijakan Korea Selatan serta AS, terutama yang terlibat dalam urusan Semenanjung Korea dan keamanan Indo-Pasifik," tambah Acronis.

Metode serangan di wilayah ini melibatkan penyamaran sebagai tokoh penting dalam diplomasi Korea dan penyebaran melalui akun Gmail palsu serta penyimpanan di Google Drive yang dipalsukan.

Implikasi Serangan dan Tantangan Keamanan Siber

Keberlanjutan dan pengembangan LOTUSLITE menandakan bahwa Mustang Panda terus berinvestasi dalam memperbarui alatnya untuk menyusup ke target-target strategis. Pergeseran fokus ke sektor perbankan India menunjukkan upaya untuk mengumpulkan intelijen penting dari lembaga keuangan yang berperan vital di kawasan.

• Serangan CHM dan DLL side-loading menunjukkan teknik yang semakin canggih dan sulit dideteksi.
• Penggunaan domain dinamis dan komunikasi terenkripsi HTTPS memperumit upaya mitigasi oleh tim keamanan.
• Target lintas negara dan sektor menandakan kampanye spionase yang luas dan terkoordinasi.

Menurut laporan The Hacker News, keamanan sektor perbankan dan kebijakan luar negeri harus semakin diperkuat untuk menangkal ancaman yang terus berkembang ini.

Analisis Redaksi

Menurut pandangan redaksi, perkembangan varian LOTUSLITE ini memperlihatkan bahwa ancaman siber dari kelompok negara-negara yang memiliki kemampuan tinggi, seperti Mustang Panda, tidak hanya fokus pada espionase tradisional, tetapi juga mulai menyasar sektor ekonomi penting seperti perbankan, yang dapat berdampak luas terhadap stabilitas finansial dan politik suatu negara.

Hal ini menandakan transformasi modus operandi dari serangan politis ke arah serangan ekonomi dan intelijen finansial, yang belum banyak disadari oleh publik dan sebagian besar institusi. Perlu ada peningkatan kesadaran dan kolaborasi internasional dalam bidang keamanan siber, khususnya antara India, Korea Selatan, dan AS, untuk mengantisipasi dan merespons ancaman ini secara efektif.

Ke depan, yang patut diwaspadai adalah kemungkinan Mustang Panda memperluas kampanye ini ke sektor-sektor vital lain di kawasan Indo-Pasifik, termasuk infrastruktur kritikal dan teknologi tinggi. Pembaca disarankan untuk terus mengikuti perkembangan terbaru dan memastikan sistem keamanan mereka diperkuat terhadap serangan yang semakin canggih ini.