Ghostwriter Serang Pemerintah Ukraina dengan Malware Phishing Prometheus

Kelompok ancaman siber Ghostwriter, yang berafiliasi dengan Belarus dan dikenal juga sebagai UAC-0057 serta UNC1151 oleh Dewan Keamanan Nasional dan Pertahanan Ukraina, telah menggunakan teknik phishing yang memanfaatkan platform pembelajaran daring Ukraina, Prometheus, untuk menargetkan organisasi pemerintahan di negara tersebut sejak musim semi 2026.

Modus Operandi Malware Phishing Prometheus

Berdasarkan laporan dari Computer Emergency Response Team Ukraina (CERT-UA), serangan ini dilakukan dengan mengirimkan email phishing menggunakan akun-akun yang telah dikompromikan ke berbagai instansi pemerintah. Email tersebut biasanya menyertakan lampiran PDF yang berisi tautan. Saat tautan ini diklik, korban akan mengunduh berkas ZIP yang mengandung file JavaScript berbahaya.

"Biasanya, email tersebut memuat lampiran PDF dengan tautan yang ketika diklik akan mengarahkan pada pengunduhan arsip ZIP yang berisi file JavaScript," jelas CERT-UA dalam laporannya.

File JavaScript yang diberi nama OYSTERFRESH ini berfungsi menampilkan dokumen palsu sebagai pengalih perhatian. Di belakang layar, ia menulis payload yang telah diobfuscate dan dienkripsi bernama OYSTERBLUES ke dalam Windows Registry, serta mengunduh dan menjalankan OYSTERSHUCK yang bertugas mendekripsi payload tersebut.

Fungsionalitas dan Ancaman Payload

OYSTERBLUES dirancang untuk mengumpulkan berbagai informasi sistem, seperti nama komputer, akun pengguna, versi sistem operasi, waktu terakhir boot OS, dan daftar proses yang berjalan. Data ini kemudian dikirim ke server perintah dan kontrol (C2) melalui permintaan HTTP POST. Setelah itu, malware menunggu instruksi lanjutan berupa kode JavaScript tahap berikutnya yang dijalankan menggunakan fungsi eval().

Payload akhir yang diidentifikasi adalah Cobalt Strike, sebuah framework simulasi serangan yang sering disalahgunakan untuk aktivitas pasca-ekspoitasi oleh penyerang.

"Untuk mengurangi risiko eksploitasi ancaman siber ini, disarankan melakukan langkah-langkah dasar pengurangan permukaan serangan, khususnya dengan membatasi kemampuan menjalankan wscript.exe untuk akun pengguna standar," tambah CERT-UA.

Konteks Serangan Siber yang Lebih Luas di Ukraina

Pengungkapan ini bertepatan dengan pernyataan Dewan Keamanan Nasional dan Pertahanan Ukraina yang mengungkapkan bahwa Rusia menggunakan alat kecerdasan buatan seperti OpenAI ChatGPT dan Google Gemini untuk memetakan target dan mengintegrasikan teknologi tersebut ke dalam malware guna menghasilkan perintah berbahaya secara dinamis. Kelompok peretas yang didukung Kremlin ini fokus melakukan serangan siber guna memperoleh intelijen dan memastikan keberadaan jangka panjang dalam jaringan yang telah dikompromikan, termasuk untuk mendukung operasi pengaruh.

Menurut Dewan tersebut, vektor penetrasi awal utama pada tahun 2025 meliputi:

• Rekayasa sosial (social engineering)
• Eksploitasi kerentanan perangkat lunak
• Pemanfaatan akun RDP dan VPN yang dikompromikan
• Serangan rantai pasokan (supply chain)
• Pemakaian perangkat lunak ilegal yang sudah mengandung backdoor saat instalasi

Fokus utama penyerang adalah mencuri informasi sensitif, mencegat komunikasi, dan melacak lokasi target.

Kasus Terkait: Kampanye Propaganda Pro-Kremlin

Selain itu, terungkap pula kampanye propaganda pro-Kremlin yang membajak akun-akun pengguna asli platform Bluesky sejak 2024 untuk menyebarkan konten palsu. Akun-akun yang dibajak termasuk milik jurnalis dan profesor. Aksi ini dikaitkan dengan perusahaan yang berbasis di Moskow bernama Social Design Agency, yang terhubung dengan kampanye bernama Matryoshka. Dalam beberapa kasus, Bluesky mengambil tindakan dengan menangguhkan akun-akun tersebut sampai pemiliknya melakukan reset.

Analisis Redaksi

Menurut pandangan redaksi, serangan yang dilakukan oleh Ghostwriter dengan memanfaatkan platform pembelajaran daring lokal ini menunjukkan peningkatan kecanggihan dan penyesuaian strategi penyerang terhadap konteks lokal yang lebih spesifik. Penggunaan JavaScript yang berlapis-lapis dan teknik obfuscation menandakan bahwa para pelaku berupaya keras untuk menyamarkan jejak digital dan memperpanjang masa tinggal malware di sistem korban.

Selain itu, integrasi teknologi kecerdasan buatan oleh aktor negara seperti Rusia dalam operasi siber menunjukkan trend berbahaya yang bisa mempercepat dan memperluas dampak serangan di masa depan. Hal ini menuntut peningkatan kesiapan dan adaptasi strategi pertahanan siber oleh pemerintah dan sektor swasta di Ukraina dan negara-negara lain yang menghadapi ancaman serupa.

Ke depan, penting untuk terus memantau perkembangan teknik serangan serta peningkatan kemampuan pertahanan siber. Edukasi tentang keamanan digital, pembaruan sistem secara rutin, dan pembatasan hak akses program seperti wscript.exe menjadi kunci utama dalam mengurangi risiko serangan phishing dan malware yang semakin kompleks.

Untuk informasi lebih lengkap dan update terkini, Anda dapat membaca laporan asli di The Hacker News serta mengikuti berita dari CNN Indonesia yang rutin mengulas perkembangan keamanan siber.