Harvester Sebar Backdoor Linux GoGra via Microsoft Graph API di Asia Selatan

Kelompok peretas yang dikenal dengan nama Harvester telah mengembangkan dan menyebarkan versi Linux dari backdoor GoGra sebagai bagian dari serangan siber yang diduga menyasar berbagai entitas di wilayah Asia Selatan. Teknik serangan ini menggunakan Microsoft Graph API dan kotak surat Outlook sebagai saluran tersembunyi untuk komunikasi command-and-control (C2), memungkinkan mereka melewati pertahanan jaringan tradisional.

Serangan Harvester di Asia Selatan: Sejarah dan Perkembangan

Menurut laporan dari tim Symantec dan Carbon Black Threat Hunter yang dibagikan kepada The Hacker News, malware ini telah diidentifikasi sejak 2021 dengan target utama di India dan Afghanistan. Artefak terkait ditemukan di platform VirusTotal yang menunjukkan aktivitas spionase yang berlangsung sejak Juni 2021.

Harvester pertama kali terungkap secara publik pada akhir 2021 dengan kampanye pencurian informasi yang mengincar sektor telekomunikasi, pemerintahan, dan teknologi informasi di Asia Selatan. Kampanye awal ini menggunakan implant khusus bernama Graphon yang juga memanfaatkan Microsoft Graph API sebagai saluran C2.

Pada Agustus 2024, kelompok ini menggunakan backdoor baru berbasis bahasa pemrograman Go yang disebut GoGra untuk menyerang sebuah organisasi media di Asia Selatan. Temuan terbaru menunjukkan bahwa Harvester kini memperluas jangkauan serangan ke sistem operasi Linux melalui varian backdoor yang sama, menandakan peningkatan kemampuan teknis dan target yang lebih luas.

Metode Serangan dan Teknik Penyebaran Malware

Serangan ini mengandalkan social engineering untuk mengelabui korban agar membuka berkas ELF binary yang disamarkan sebagai dokumen PDF. Setelah dibuka, program dropper menampilkan dokumen umpan (lure) sementara backdoor berjalan secara tersembunyi di latar belakang tanpa diketahui korban.

Mirip dengan versi Windows-nya, GoGra Linux memanfaatkan infrastruktur cloud Microsoft untuk mengakses folder kotak surat Outlook bernama "Zomato Pizza" setiap dua detik dengan menggunakan kueri Open Data Protocol (OData). Backdoor ini mencari email dengan subjek yang diawali kata "Input".

Setelah menemukan email yang sesuai, backdoor akan mendekripsi isi pesan yang dikodekan dalam Base64, kemudian menjalankan perintah shell menggunakan /bin/bash. Hasil eksekusi perintah tersebut dikirim kembali ke operator melalui email dengan subjek "Output". Untuk menutupi jejak, pesan perintah asli dihapus setelah proses pengiriman selesai.

Kesamaan Kode dan Indikasi Pengembang Tunggal

Tim Symantec dan Carbon Black menegaskan bahwa meskipun menggunakan arsitektur deployment dan sistem operasi berbeda, logika C2 yang mendasari backdoor ini tetap sama. Mereka juga menemukan beberapa kesalahan ejaan yang sama secara hard-coded pada kedua platform, yang menandakan bahwa pengembang yang sama berada di balik kedua alat ini.

Hal ini mengindikasikan bahwa Harvester secara aktif mengembangkan dan memperluas perangkat alatnya untuk menargetkan lebih banyak korban dan mesin dengan berbagai sistem operasi.

Analisis Redaksi

Menurut pandangan redaksi, pengembangan backdoor Linux GoGra oleh Harvester menandai eskalasi signifikan dalam taktik kelompok ini, yang sebelumnya fokus pada platform Windows saja. Langkah ini tidak hanya memperluas potensi target mereka ke sistem operasi yang populer di kalangan server dan perangkat IoT, tetapi juga menunjukkan peningkatan kemampuan teknis yang mengkhawatirkan.

Penggunaan Microsoft Graph API sebagai saluran komunikasi C2 adalah contoh bagaimana aktor ancaman memanfaatkan layanan cloud populer untuk menghindari deteksi, mengingat API ini digunakan secara luas dan sulit diblokir tanpa mengganggu operasi bisnis. Hal ini menandakan perlunya peningkatan kewaspadaan bagi organisasi yang menggunakan layanan Microsoft, terutama di kawasan Asia Selatan yang menjadi fokus serangan ini.

Kedepannya, penting bagi sektor pemerintahan dan swasta di kawasan ini untuk mengadopsi strategi keamanan siber yang lebih maju termasuk pemantauan anomali pada penggunaan API dan edukasi pengguna agar tidak mudah terjebak dalam teknik social engineering yang semakin canggih. Dengan ancaman yang terus berkembang, pemahaman mendalam dan respons cepat terhadap serangan semacam ini menjadi kunci untuk menjaga keamanan data dan infrastruktur penting di Asia Selatan dan sekitarnya.

Untuk informasi lebih lanjut dan update terkini tentang ancaman siber global, pembaca dapat mengikuti laporan resmi di The Hacker News dan sumber terpercaya lainnya seperti Symantec.