Peretas Terkait China Gunakan TernDoor, PeerTime, BruteEntry Serang Telekomunikasi Amerika Selatan
Kelompok peretas canggih terkait China yang dikenal sebagai UAT-9244 telah aktif menyerang infrastruktur telekomunikasi kritis di Amerika Selatan sejak tahun 2024. Target serangan mereka mencakup sistem operasi Windows dan Linux serta perangkat jaringan edge dengan menggunakan tiga malware atau implant yang berbeda.
Target dan Hubungan dengan Kelompok Lain
Menurut pengamatan dari Cisco Talos, UAT-9244 memiliki kemiripan taktis dengan kelompok yang dikenal dengan nama FamousSparrow. FamousSparrow sendiri memiliki hubungan taktis dengan Salt Typhoon, sebuah kelompok spionase yang berafiliasi dengan China dan dikenal menargetkan penyedia layanan telekomunikasi. Meskipun demikian, hingga kini belum ada bukti kuat yang secara langsung menghubungkan UAT-9244 dengan Salt Typhoon.
Malware yang Digunakan dalam Serangan
Dalam kampanye yang dianalisis Cisco Talos, ditemukan tiga implant baru yang belum didokumentasikan sebelumnya, yaitu:
- TernDoor yang menargetkan sistem Windows
- PeerTime (dikenal juga sebagai angrypeer) yang menargetkan sistem Linux
- BruteEntry yang dipasang pada perangkat jaringan edge
Mekanisme akses awal yang digunakan oleh peretas untuk menyusup ke sistem korban belum diketahui secara pasti. Namun, mereka diketahui pernah memanfaatkan celah pada versi lama Windows Server dan Microsoft Exchange Server untuk memasang web shells sebagai pintu masuk aktivitas selanjutnya.
Detail Teknik Serangan TernDoor
TernDoor menyusup melalui teknik DLL side-loading, memanfaatkan executable sah bernama wsprint.exe untuk menjalankan DLL berbahaya bernama "BugSplatRc64.dll". DLL ini mendekripsi dan mengeksekusi payload utama langsung di memori. Varian ini merupakan turunan dari malware Crowdoor, yang juga merupakan varian dari SparrowDoor, dan telah digunakan sejak November 2024.
TernDoor mempertahankan keberadaannya di sistem dengan membuat scheduled task atau entri di Registry Run key. Berbeda dengan CrowDoor, TernDoor menggunakan kode perintah yang berbeda dan menyertakan driver Windows untuk mengontrol proses seperti menjeda, melanjutkan, dan menghentikan. Malware ini hanya memiliki satu opsi perintah baris, yaitu "-u" untuk menghapus dirinya sendiri dan semua jejaknya dari sistem.
Setelah dijalankan, TernDoor memeriksa apakah ia sudah disuntik ke dalam proses "msiexec.exe" dan kemudian mendekripsi konfigurasi untuk mendapatkan parameter command-and-control (C2). Koneksi ke server C2 memungkinkan malware ini untuk membuat proses baru, menjalankan perintah, membaca dan menulis file, mengumpulkan informasi sistem, serta mengendalikan proses dengan driver yang disembunyikan.
PeerTime: Malware Linux dengan Fitur Peer-to-Peer
Selain TernDoor, UAT-9244 juga menggunakan PeerTime, sebuah backdoor peer-to-peer (P2P) untuk sistem Linux yang dikompilasi untuk berbagai arsitektur seperti ARM, AARCH, PPC, dan MIPS, sehingga dapat menginfeksi beragam perangkat embedded.
PeerTime diinstal melalui shell script bersama dengan sebuah binary instrumentor yang memeriksa keberadaan Docker di host target. Jika Docker ditemukan, loader PeerTime dijalankan. Menariknya, string debug pada binary ini menggunakan bahasa Mandarin Sederhana, menandakan bahwa malware ini dibuat oleh aktor yang berbahasa China.
Loader ini bertugas mendekripsi dan mengeksekusi payload utama PeerTime langsung di memori. PeerTime hadir dalam dua versi: yang pertama ditulis dengan bahasa C/C++ dan versi terbaru menggunakan Rust. Malware ini bisa mengganti namanya dengan nama proses yang tampak sah untuk mengelabui deteksi. PeerTime juga menggunakan protokol BitTorrent untuk mengambil informasi C2, mengunduh file dari peer, dan menjalankan file tersebut di sistem korban.
BruteEntry: Malware untuk Perangkat Edge yang Memperluas Serangan
Selain malware di atas, server infrastruktur UAT-9244 juga menyimpan berbagai shell script dan payload, termasuk BruteEntry, sebuah pemindai brute-force yang dipasang pada perangkat jaringan edge. BruteEntry mengubah perangkat ini menjadi proxy massal dalam sebuah kotak relay operasional (Operational Relay Box/ORB) yang mampu menyerang server Postgres, SSH, dan Tomcat dengan metode brute-force.
Shell script yang digunakan memasang dua komponen berbasis Golang: satu sebagai pengatur orkestrasi yang mengirimkan BruteEntry, dan satu lagi sebagai pemindai brute-force itu sendiri. BruteEntry terhubung ke server C2 untuk mendapatkan daftar alamat IP target dan melaksanakan serangan brute-force. Hasil keberhasilan login dilaporkan kembali ke server C2.
"'Success' menandakan apakah brute-force berhasil (true atau false), dan 'notes' memberikan informasi spesifik apakah brute-force berhasil atau tidak," jelas Cisco Talos. "Jika login gagal, catatan akan berbunyi 'All credentials tried.'"
Analisis Redaksi
Menurut pandangan redaksi, serangan yang dilakukan oleh kelompok UAT-9244 menunjukkan eskalasi signifikan dalam upaya spionase siber yang menargetkan infrastruktur telekomunikasi di wilayah Amerika Selatan, sebuah kawasan yang selama ini relatif kurang menjadi sorotan dalam perang siber global. Penggunaan malware yang dirancang khusus untuk berbagai platform serta pemanfaatan perangkat edge sebagai proxy serangan memperlihatkan tingkat kompleksitas dan kesiapan teknis yang tinggi dari aktor ini.
Meski belum ada konfirmasi langsung bahwa UAT-9244 terhubung dengan kelompok Salt Typhoon, kemiripan taktis dan target menunjukkan adanya pola serangan yang semakin terkoordinasi dan strategis dari aktor-aktor berafiliasi China. Hal ini patut menjadi perhatian serius bagi penyedia layanan telekomunikasi dan pemerintah di kawasan tersebut untuk meningkatkan pertahanan siber, terutama dalam menjaga infrastruktur kritis yang rentan disusupi.
Kedepannya, penting untuk memantau apakah kelompok ini akan memperluas target serangan ke sektor-sektor lain dan bagaimana respons internasional terhadap ancaman siber yang semakin canggih ini. Pembaruan keamanan, edukasi pengguna, dan kerja sama antarnegara perlu diperkuat untuk meredam dampak serangan yang bisa mengganggu konektivitas dan keamanan data di tingkat regional.
Terus ikuti perkembangan berita keamanan siber lainnya di platform kami untuk mendapatkan informasi terkini dan analisis mendalam.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
