Peretas Terkait China Serang Pemerintah Asia dan NATO, Target Jurnalis & Aktivis

Peretas yang terkait dengan China kembali melakukan kampanye spionase besar-besaran dengan menargetkan sektor pemerintahan dan pertahanan di Asia Selatan, Timur, dan Tenggara, serta satu negara anggota NATO di Eropa. Menurut laporan terbaru, serangan ini telah aktif sejak Desember 2024 dan memanfaatkan kerentanan sistem Microsoft Exchange serta Internet Information Services (IIS) untuk menyusup dan mencuri data sensitif.

Kampanye Spionase SHADOW-EARTH-053: Serangan Canggih pada Pemerintah Asia dan NATO

Perusahaan keamanan siber Trend Micro mengidentifikasi kelompok peretas ini dengan kode SHADOW-EARTH-053, yang melakukan serangan di negara-negara seperti Pakistan, Thailand, Malaysia, India, Myanmar, Sri Lanka, Taiwan, dan Polandia sebagai negara Eropa yang menjadi korban.

Menurut analis keamanan Daniel Lunghi dan Lucas Silva, metode serangan mereka meliputi eksploitasi "N-day" pada server Microsoft Exchange dan IIS yang dapat diakses dari internet, termasuk rantai kerentanan ProxyLogon. Setelah berhasil masuk, mereka menanam web shell bernama Godzilla untuk akses persisten dan memasang backdoor ShadowPad melalui teknik DLL sideloading menggunakan executable yang sudah ditandatangani secara sah.

"Kelompok ini mengeksploitasi kerentanan pada aplikasi IIS yang dapat diakses secara publik dan menginfeksi sistem dengan web shell untuk menjalankan perintah jarak jauh," jelas Trend Micro. Mereka juga menggunakan berbagai alat open-source seperti IOX, GO Simple Tunnel (GOST), dan Wstunnel untuk menyembunyikan aktivitas serta menghindari deteksi sistem keamanan.

Dalam beberapa kasus, mereka juga menggunakan malware Noodle RAT versi Linux, yang sebelumnya dikaitkan oleh Google Threat Intelligence Group dengan grup bernama UNC6595. Untuk meningkatkan hak akses, mereka memanfaatkan privilege escalation dengan alat seperti Mimikatz, dan untuk bergerak lateral di jaringan, digunakan protokol desktop jarak jauh (RDP) dan Sharp-SMBExec berbasis C#.

Target Utama dan Dampak Serangan

• Negara-negara Asia: Pakistan, Thailand, Malaysia, India, Myanmar, Sri Lanka, dan Taiwan.
• Negara Eropa: Polandia (anggota NATO).
• Sektor terdampak: Pemerintah, pertahanan, dan lembaga penting lainnya.
• Metode utama: Eksploitasi kerentanan Microsoft Exchange dan IIS, pemasangan web shell Godzilla, dan backdoor ShadowPad.

Trend Micro menekankan pentingnya pembaruan keamanan dan patch kumulatif terbaru untuk Microsoft Exchange dan aplikasi web IIS agar mencegah serangan serupa. Mereka juga menyarankan penggunaan Intrusion Prevention Systems (IPS) dan Web Application Firewalls (WAF) dengan aturan khusus sebagai solusi sementara jika patch tidak dapat segera diterapkan.

Phishing Terkoordinasi GLITTER CARP dan SEQUIN CARP: Target Jurnalis dan Aktivis

Selain serangan teknis pada infrastruktur, dua kelompok peretas China bernama GLITTER CARP dan SEQUIN CARP melakukan kampanye phishing canggih yang menargetkan para jurnalis investigasi internasional dan aktivis dari komunitas Uyghur, Tibet, Taiwan, serta diaspora Hong Kong. Kampanye ini pertama kali terdeteksi pada April dan Juni 2025 oleh Citizen Lab.

Kedua kelompok ini menggunakan taktik digital impersonation yang sangat terencana, termasuk menyamar sebagai individu ternama dan mengirimkan email phishing yang menyerupai pemberitahuan keamanan dari perusahaan teknologi. Phishing ini bertujuan mencuri kredensial email dan mengakses akun melalui halaman phishing, pencurian token OAuth pihak ketiga, serta pelacakan dengan pixel 1x1 untuk memastikan email dibuka korban.

• GLITTER CARP: Menyerang konsorsium jurnalis investigasi (ICIJ) dan industri semikonduktor Taiwan.
• SEQUIN CARP: Menargetkan jurnalis seperti Scilla Alecci dan lainnya yang menulis isu sensitif bagi pemerintah China.

Citizen Lab menyoroti bahwa taktik yang digunakan kedua kelompok ini menunjukkan bentuk represi digital transnasional yang semakin terdistribusi dan terorganisasi, mencerminkan prioritas intelijen China saat ini.

"Analisis kami mengindikasikan bahwa entitas komersial yang disewa oleh negara China mungkin berada di balik kedua klaster aktivitas ini," ujar Citizen Lab.

Analisis Redaksi

Menurut pandangan redaksi, kampanye spionase dan phishing yang dilakukan oleh peretas terkait China ini bukan sekadar serangan siber biasa, melainkan bagian dari strategi geopolitik yang lebih luas untuk memperoleh keunggulan intelijen di kawasan Asia dan di antara anggota NATO. Target yang dipilih — mulai dari pemerintah hingga jurnalis dan aktivis — menunjukkan bahwa ancaman ini menggabungkan aspek politik, keamanan nasional, dan kontrol informasi.

Potensi dampak jangka panjangnya adalah meningkatnya ketegangan diplomatik dan perlunya peningkatan kapasitas pertahanan siber di negara-negara yang terdampak. Selain itu, keberhasilan serangan ini dapat membuka peluang bagi pencurian data rahasia dan manipulasi opini publik melalui data yang dicuri dari jurnalis dan aktivis.

Dalam konteks ini, penting bagi organisasi dan individu yang menjadi target untuk tidak hanya mengandalkan patch dan firewall, tetapi juga meningkatkan kesadaran keamanan siber dan mengadopsi praktik keamanan digital yang ketat. Pemantauan berkelanjutan dan kolaborasi internasional juga menjadi kunci untuk menanggulangi ancaman yang semakin kompleks ini.

Untuk update lebih lanjut dan analisis mendalam, Anda dapat mengakses sumber asli artikel ini di The Hacker News dan laporan Citizen Lab yang relevan.

Terus ikuti perkembangan terbaru agar tidak ketinggalan informasi penting terkait keamanan siber dan dinamika geopolitik global.