Tropic Trooper Serang dengan SumatraPDF Trojan dan GitHub untuk AdaptixC2

Tropic Trooper, kelompok hacker berbahasa Cina, kembali melancarkan kampanye siber baru dengan menggunakan versi trojan dari pembaca PDF populer, SumatraPDF, untuk menyebarkan agen post-exploitation AdaptixC2 Beacon dan memanfaatkan terowongan Visual Studio Code (VS Code) guna akses jarak jauh secara tersembunyi.

Kampanye ini ditemukan oleh Zscaler ThreatLabz pada bulan Maret 2026 dan dengan tingkat keyakinan tinggi diatributkan pada Tropic Trooper, yang juga dikenal dengan nama lain seperti APT23, Earth Centaur, KeyBoy, dan Pirate Panda. Kelompok ini telah aktif menargetkan berbagai entitas di Taiwan, Hong Kong, dan Filipina sejak setidaknya tahun 2011.

"Para pelaku ancaman menciptakan pendengar AdaptixC2 Beacon yang kustom, memanfaatkan GitHub sebagai platform command-and-control (C2) mereka," ujar Yin Hong Chang, peneliti keamanan yang melakukan analisa kampanye ini.

Target dan Metode Serangan

Target utama kampanye ini adalah individu berbahasa Cina di Taiwan serta beberapa korban di Korea Selatan dan Jepang. Serangan dimulai dari berkas ZIP yang berisi dokumen bertema militer sebagai umpan, yang kemudian meluncurkan versi SumatraPDF yang telah disusupi trojan. Program ini menampilkan dokumen PDF umpan untuk mengalihkan perhatian korban, sementara secara diam-diam mengunduh shellcode terenkripsi dari server staging guna meluncurkan agen AdaptixC2 Beacon.

Versi SumatraPDF yang telah disusupi ini menjalankan sebuah loader modifikasi bernama TOSHIS, varian dari Xiangoop—malware yang sudah lama dikaitkan dengan Tropic Trooper. Loader ini bertugas mengaktifkan serangan bertahap, menurunkan dokumen umpan sebagai distraksi dan juga meluncurkan agen AdaptixC2 Beacon di latar belakang.

Penggunaan GitHub sebagai Command-and-Control

Agen AdaptixC2 menggunakan platform GitHub sebagai sarana komunikasi command-and-control (C2). Agen ini secara rutin mengirim sinyal ke infrastruktur yang dikendalikan penyerang untuk mengambil perintah yang harus dijalankan pada sistem korban.

Serangan baru berlanjut ke tahap berikutnya hanya jika korban dianggap bernilai oleh penyerang. Pada titik ini, pelaku memasang Visual Studio Code dan mengkonfigurasi terowongan VS Code untuk akses jarak jauh yang tersembunyi. Pada beberapa mesin terpilih, aplikasi lain yang juga sudah disusupi trojan dipasang guna menyamarkan aktivitas berbahaya tersebut.

Server Staging dan Malware Pendukung

Server staging yang terlibat dalam serangan ini, dengan alamat IP 158.247.193[.]100, diketahui juga menjadi host bagi Cobalt Strike Beacon dan backdoor kustom bernama EntryShell. Kedua malware ini pernah digunakan Tropic Trooper dalam kampanye sebelumnya.

Zscaler menyatakan, "Serupa dengan kampanye TAOTH, backdoor yang tersedia secara publik digunakan sebagai payload. Meski sebelumnya digunakan Cobalt Strike Beacon dan Mythic Merlin, pelaku ancaman kini beralih ke AdaptixC2."

Analisis Redaksi

Menurut pandangan redaksi, kampanye Tropic Trooper ini menunjukkan evolusi teknik serangan yang semakin canggih dan sulit dideteksi. Penggunaan aplikasi resmi yang sudah dimodifikasi, seperti SumatraPDF dan VS Code, memperlihatkan kemampuan kelompok ini untuk memanfaatkan infrastruktur teknologi yang biasa digunakan sehari-hari, sehingga meningkatkan peluang keberhasilan serangan tanpa terdeteksi.

Penggunaan GitHub sebagai platform C2 juga memperlihatkan kecerdikan dalam memanfaatkan layanan cloud publik yang luas dan terpercaya, sehingga mempersulit upaya mitigasi dan pemblokiran serangan. Ini menjadi peringatan serius bagi organisasi dan individu untuk meningkatkan kewaspadaan, terutama terhadap dokumen dan aplikasi yang mencurigakan walaupun berasal dari sumber yang tampak resmi.

Ke depan, diperkirakan serangan-serangan yang menggabungkan teknik trojanisasi aplikasi resmi dan pemanfaatan layanan cloud publik akan semakin marak. Oleh karena itu, penguatan sistem keamanan siber dan edukasi pengguna menjadi sangat penting untuk mengurangi risiko serangan serupa.

Untuk mengikuti perkembangan terbaru tentang ancaman siber ini, pembaca dapat melihat analisa lengkap dari The Hacker News dan sumber terpercaya lainnya seperti CNN Indonesia Teknologi.