Eksploitasi Server Web dan Mimikatz dalam Serangan Terhadap Infrastruktur Kritis Asia

Kelompok ancaman siber dari Tiongkok telah melancarkan serangan bertarget terhadap organisasi bernilai tinggi di Asia Selatan, Asia Tenggara, dan Asia Timur selama beberapa tahun terakhir. Serangan ini menyasar sektor-sektor vital seperti penerbangan, energi, pemerintahan, penegakan hukum, farmasi, teknologi, dan telekomunikasi.

Kelompok Ancaman CL-UNK-1068 dan Tujuan Spionase Siber

Palo Alto Networks Unit 42 mengidentifikasi kelompok tersebut sebagai CL-UNK-1068, sebuah klaster aktivitas yang belum pernah terdokumentasi sebelumnya. Nama ini mengandung arti "CL" sebagai singkatan dari "cluster" dan "UNK" yang menandakan motif yang belum diketahui secara pasti. Namun, berdasarkan analisis, vendor keamanan tersebut sangat yakin bahwa tujuan utama serangan adalah spionase siber.

"Analisis kami menunjukkan penggunaan berbagai alat canggih mulai dari malware khusus, utilitas open-source yang dimodifikasi, hingga 'living-off-the-land binaries' (LOLBINs)," ujar peneliti keamanan Tom Fakterman. "Metode ini memungkinkan pelaku untuk mempertahankan kehadiran yang persisten di lingkungan target secara sederhana namun efektif."

Modus Operandi Serangan: Eksploitasi Server Web dan Pencurian Kredensial

Kelompok ini mengincar sistem operasi Windows dan Linux dengan memanfaatkan berbagai alat dan malware, termasuk Godzilla, ANTSWORD, Xnote, dan Fast Reverse Proxy (FRP) yang umum digunakan oleh kelompok hacking Tiongkok lain.

Godzilla dan ANTSWORD berfungsi sebagai web shells untuk mengendalikan server web, sementara Xnote merupakan backdoor Linux yang sudah ada sejak 2015 dan pernah digunakan oleh kelompok bernama Earth Berberoka dalam serangan terhadap situs perjudian daring.

Rantai serangan biasanya dimulai dengan eksploitasi server web untuk menyusupkan web shell dan bergerak lateral ke host lain. Pelaku kemudian mencuri file dengan ekstensi tertentu seperti "web.config", ".aspx", ".asmx", ".asax", dan ".dll" dari direktori "c:\inetpub\wwwroot" di server Windows. Tujuan utama pencurian ini diduga untuk mendapatkan kredensial dan mengidentifikasi celah keamanan.

Selain itu, file lain yang dicuri adalah riwayat dan bookmark browser, file XLSX dan CSV dari desktop dan direktori pengguna, serta backup database (.bak) dari server MS-SQL.

Salah satu teknik unik yang digunakan adalah mengarsipkan file menggunakan WinRAR, lalu mengubah arsip tersebut menjadi teks Base64 melalui perintah certutil -encode, dan menampilkan hasilnya di layar menggunakan perintah type melalui web shell. Dengan cara ini, data dapat dieksfiltrasi tanpa mengunggah file secara langsung, menghindari deteksi.

Teknik Lanjutan dan Alat yang Digunakan

Kelompok ini juga memanfaatkan executable Python resmi (python.exe dan pythonw.exe) untuk melakukan serangan DLL side-loading dan menjalankan DLL berbahaya secara tersembunyi, termasuk FRP untuk akses persisten, PrintSpoofer, dan scanner khusus berbasis Go bernama ScanPortPlus.

Sejak 2020, CL-UNK-1068 juga memakai alat .NET bernama SuperDump untuk kegiatan pengintaian, dan kini beralih menggunakan skrip batch untuk mengumpulkan informasi host dan memetakan lingkungan lokal.

Untuk pencurian kredensial, mereka menggunakan berbagai alat, antara lain:

• Mimikatz, untuk mengambil password dari memori sistem
• LsaRecorder, untuk merekam password WinLogon dengan hooking fungsi LsaApLogonUserEx2
• DumpItForLinux dan Volatility Framework, untuk ekstraksi hash password dari memori sistem Linux
• SQL Server Management Studio Password Export Tool, untuk mengambil informasi koneksi dari file sqlstudio.bin di Microsoft SQL Server Management Studio (SSMS)

Kesimpulan dan Implikasi Serangan

Unit 42 menyimpulkan bahwa kelompok ini berhasil menjalankan operasi yang sangat tersembunyi dengan menggunakan alat open-source, malware komunitas, dan skrip batch. Mereka mampu beroperasi di lingkungan Windows dan Linux secara bersamaan, menyesuaikan versi alat mereka untuk tiap sistem operasi.

Fokus utama pada pencurian kredensial dan eksfiltrasi data sensitif dari infrastruktur kritis serta sektor pemerintahan mengindikasikan motif spionase siber, meskipun kemungkinan motif kriminal juga belum sepenuhnya bisa dikesampingkan.

Analisis Redaksi

Menurut pandangan redaksi, serangan yang dilakukan oleh kelompok CL-UNK-1068 menunjukkan evolusi signifikan dalam metode infiltrasi dan pengintaian siber yang dijalankan oleh aktor negara, khususnya asal Tiongkok. Penggunaan kombinasi malware khusus, living-off-the-land tools, dan teknik eksfiltrasi data tanpa file transfer langsung memperlihatkan tingkat kematangan operasi siber yang tinggi dan berorientasi jangka panjang.

Hal ini menjadi peringatan penting bagi organisasi di wilayah Asia yang beroperasi di sektor kritis untuk meningkatkan sistem keamanan mereka dengan pembaruan berkelanjutan, deteksi anomali yang canggih, dan pelatihan kesadaran keamanan siber bagi SDM. Selain itu, pemantauan aktivitas jaringan yang ketat serta penerapan prinsip least privilege dapat mengurangi risiko pergerakan lateral oleh penyerang.

Kedepannya, publik dan pelaku industri harus mengawasi perkembangan taktik dan teknik yang digunakan oleh kelompok seperti CL-UNK-1068, karena serangan semacam ini tidak hanya mengancam keamanan data dan operasi vital nasional, tetapi juga stabilitas geopolitik kawasan.

Dengan semakin canggihnya ancaman siber, kolaborasi antar lembaga pemerintah, sektor swasta, dan komunitas keamanan menjadi kunci untuk membangun pertahanan yang tangguh dan responsif terhadap serangan di masa depan.