_wmcomp.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5574736/original/075791800_1777974377-VE_-_Maju_Serem_Mundur_Horor_-_Main_KV_-_Poster_KV_Master_Landscape.jpg)
UAT-8302 Berbasis China Serang Pemerintah dengan Malware APT Bersama
UAT-8302, sebuah kelompok ancaman canggih (APT) yang terkait dengan China, telah diketahui melakukan serangan siber terhadap entitas pemerintahan di Amerika Selatan sejak akhir 2024 dan kemudian menyerang lembaga pemerintah di Eropa Tenggara pada 2025. Kelompok ini menggunakan berbagai malware yang sama-sama dipakai oleh kelompok peretas yang berafiliasi dengan China di berbagai wilayah.
Malware Khusus dan Kolaborasi Kelompok Hacker China
Menurut penelitian Cisco Talos, UAT-8302 mengadopsi beberapa keluarga malware khusus yang juga digunakan oleh kelompok lain yang terkait China. Malware paling menonjol adalah NetDraft (dikenal juga sebagai NosyDoor), backdoor berbasis .NET yang merupakan varian C# dari FINALDRAFT (atau Squidoor). Malware ini sebelumnya telah dihubungkan dengan kelompok seperti Ink Dragon, CL-STA-0049, Earth Alux, Jewelbug, dan REF7707.
Perusahaan keamanan ESET menyebut penggunaan NosyDoor oleh kelompok yang mereka identifikasi sebagai LongNosedGoblin. Menariknya, malware yang sama juga digunakan untuk menyerang organisasi TI Rusia oleh aktor bernama Erudite Mogwai (alias Space Pirates dan Webworm), menurut perusahaan keamanan Rusia Solar, yang menyebutnya sebagai LuckyStrike Agent.
Tool dan Teknik Serangan yang Digunakan UAT-8302
Selain NetDraft, UAT-8302 juga menggunakan berbagai alat berbahaya lain, antara lain:
- CloudSorcerer, backdoor yang telah digunakan untuk menyerang entitas Rusia sejak Mei 2024.
- SNOWLIGHT, stager VShell yang digunakan oleh UNC5174, UNC6586, dan UAT-6382.
- Deed RAT (alias Snappybee), penerus ShadowPad, dan Zingdoor, yang digunakan oleh kelompok Earth Estries pada akhir 2024.
- Draculoader, loader shellcode generik untuk mengirimkan Crowdoor dan HemiGate.
Para peneliti Cisco Talos menyatakan bahwa
"Malware yang digunakan oleh UAT-8302 menghubungkan kelompok ini dengan beberapa cluster ancaman yang telah dipublikasikan sebelumnya, mengindikasikan hubungan operasional yang erat di antara mereka."Mereka juga menambahkan,
"Berbagai artefak berbahaya yang digunakan menunjukkan bahwa kelompok ini memiliki akses ke alat-alat yang dipakai oleh aktor APT canggih lain yang juga terkait China atau berbahasa China menurut laporan pihak ketiga."
Metode Akses dan Pergerakan dalam Jaringan Target
Meskipun metode akses awal ke jaringan target belum diketahui secara pasti, diduga kuat kelompok ini menggunakan eksploitasi zero-day dan N-day pada aplikasi web untuk masuk. Setelah mendapatkan pijakan, mereka melakukan rekognisi mendalam untuk memetakan jaringan, menggunakan alat open-source seperti gogo untuk pemindaian otomatis, dan bergerak lateral di dalam lingkungan jaringan.
Rangkaian serangan berakhir dengan penyebaran malware seperti NetDraft, CloudSorcerer (versi 3.0), dan VShell. UAT-8302 juga menggunakan varian Rust dari SNOWLIGHT bernama SNOWRUST yang berfungsi mengunduh dan menjalankan payload VShell dari server jarak jauh.
Selain menggunakan malware khusus, pelaku juga membuat akses backdoor alternatif menggunakan alat proxy dan VPN seperti Stowaway dan SoftEther VPN.
Kolaborasi Tingkat Tinggi Antar Kelompok Hacker China
Temuan ini menegaskan adanya tren kolaborasi tingkat lanjut antara beberapa kelompok yang berafiliasi dengan China. Pada Oktober 2025, Trend Micro mengungkap fenomena bernama Premier Pass-as-a-Service, di mana akses awal yang diperoleh oleh kelompok Earth Estries diteruskan ke Earth Naga untuk eksploitasi lanjutan, sehingga mengaburkan upaya mitigasi serangan. Pola kemitraan ini sudah diperkirakan berlangsung sejak akhir 2023.
Menurut Trend Micro,
"Premier Pass-as-a-Service memberikan akses langsung ke aset-aset kritis, mengurangi waktu yang dibutuhkan untuk fase rekognisi, eksploitasi awal, dan pergerakan lateral."Mereka juga memperingatkan bahwa meski insiden yang terobservasi terbatas, risiko eksposur dari layanan ini sangat besar sehingga akses kemungkinan dibatasi untuk lingkaran kecil pelaku ancaman.
Analisis Redaksi
Menurut pandangan redaksi, serangan yang dilakukan oleh UAT-8302 dan kelompok terkait menunjukkan bahwa keamanan siber pemerintahan di berbagai belahan dunia sedang menghadapi ancaman terkoordinasi dengan intensitas dan kompleksitas yang semakin meningkat. Penggunaan malware yang sama oleh beberapa kelompok dan model kolaborasi seperti Premier Pass-as-a-Service menandakan bahwa para pelaku kejahatan siber semakin mengadopsi pendekatan bisnis yang terstruktur dan profesional.
Hal ini memaksa pemerintah dan sektor keamanan siber untuk mengadopsi strategi pertahanan yang lebih dinamis dan kolaboratif. Selain itu, pengungkapan ini menimbulkan pertanyaan besar tentang bagaimana negara-negara dapat memperkuat kerjasama internasional untuk menghadapi ancaman yang lintas batas dan lintas kelompok seperti ini.
Kedepannya, penting bagi lembaga keamanan dan pengambil kebijakan untuk memantau lebih dekat aktivitas kelompok seperti UAT-8302 dan mengembangkan teknologi deteksi serta respons yang mampu mendeteksi pola kolaborasi serangan yang semakin kompleks. Bagi publik dan organisasi, peningkatan pemahaman dan kesadaran terhadap risiko keamanan siber juga menjadi kunci utama dalam mengurangi dampak serangan.
Untuk informasi terupdate dan analisis mendalam lainnya, Anda dapat mengikuti perkembangan berita keamanan siber melalui sumber asli The Hacker News dan sumber terpercaya lainnya seperti CNN Indonesia Teknologi.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
