APT Berbahasa Cina Gunakan Backdoor TinyRCT dalam Serangan Siber di Asia Tenggara

Unit 42 Palo Alto Networks baru-baru ini mengungkapkan aktivitas serangan siber yang melibatkan kelompok advanced persistent threat (APT) berbahasa Cina, yang menggunakan backdoor khusus bernama TinyRCT dalam kampanye siber mereka di Asia Tenggara. Kampanye ini menargetkan entitas pemerintah dan infrastruktur kritis, khususnya perusahaan milik negara di sektor energi dan pemerintahan.

Kelompok CL-STA-1062 dan Keterkaitannya dengan Kampanye Sebelumnya

Menurut laporan Unit 42, kelompok yang dinamai CL-STA-1062 ini memiliki kemiripan dengan grup UAT-7237 yang sebelumnya diidentifikasi oleh Cisco Talos pada Agustus 2025, terkait kampanye serangan terhadap infrastruktur web di Taiwan. CL-STA-1062 telah aktif melakukan serangan sejak Maret 2022, menandakan fokus yang berkelanjutan terhadap sektor strategis di Asia Timur.

"Dari sisi teknis, para penyerang di balik CL-STA-1062 mengandalkan toolkit hibrida. Mereka sering menggunakan alat open-source seperti SoftEther VPN, Mimikatz, dan VNT, namun baru-baru ini memperkenalkan TinyRCT, sebuah backdoor kustom yang belum pernah didokumentasikan sebelumnya,"

Fitur dan Cara Kerja Backdoor TinyRCT

TinyRCT merupakan backdoor berbasis .NET yang memiliki kemampuan untuk menjalankan perintah arbitrer, melakukan enumerasi dan eksfiltrasi file, menangkap layar perangkat yang terinfeksi, serta menghapus jejaknya secara mandiri. Malware ini menggunakan model beaconing dengan interval 10 detik, menghubungi server komando dan kontrol (C2) melalui protokol HTTP dengan enkripsi AES-128 dalam mode CBC.

Komunikasi dengan server C2 beralamat 45.32.113[.]172 ini menggunakan metode GET untuk menerima instruksi dan POST untuk mengirim data curian. Malware ini juga memiliki fitur anti-sandbox untuk menghindari deteksi di lingkungan virtual.

Metode Penyebaran dan Infrastruktur Serangan

TinyRCT disebarkan melalui arsip berbahaya bernama "chrome_setup.zip", berisi executable asli "chrome_setup.exe", file konfigurasi, serta DLL jahat "MyAppDomainManager.dll" yang digunakan untuk melakukan injeksi AppDomainManager dan memuat DLL berbahaya sebagai downloader. Downloader ini kemudian menghubungi 139.180.134[.]221 untuk mengunduh "PerfWatson2.exe" (TinyRCT).

Selain TinyRCT, CL-STA-1062 menggunakan berbagai alat seperti SoftEther VPN, VNT (VPN), dan Yuze (proxy SOCKS5), yang sering disamarkan sebagai executable VMware seperti "vmtools.exe" atau "vmwared.exe" untuk memudahkan pergerakan lateral dalam jaringan target.

Kampanye dan Target Serangan di Asia Tenggara

Dalam kampanye yang terdeteksi pada September 2025, kelompok ini berhasil menembus sebuah entitas pemerintah di Asia Tenggara dengan memasang web shell untuk mengekstrak data dari server MS SQL. Penyerang juga melakukan pengintaian jaringan pada entitas pemerintah lain di negara yang sama, berusaha memperluas akses dan melakukan pergerakan lateral.

Unit 42 mencatat minimal 10 organisasi berbeda di Asia Tenggara menjadi korban serangan antara Oktober hingga Desember 2025. Kelompok ini juga secara aktif memindai berbagai entitas infrastruktur kritis untuk mencari celah dan menancapkan pijakan menggunakan web shell ASPX sebelum melancarkan serangan lanjutan.

Analisis Redaksi

Menurut pandangan redaksi, kehadiran TinyRCT yang merupakan backdoor kustom menandakan peningkatan kemampuan teknis dan sumber daya dari kelompok APT ini. Mereka tidak hanya mengandalkan alat terbuka yang sudah ada, tetapi juga mengembangkan malware yang disesuaikan untuk tujuan spionase dan sabotase di sektor vital. Hal ini memperlihatkan keseriusan ancaman siber terhadap infrastruktur kritis dan pemerintahan di Asia Tenggara, yang selama ini menjadi sasaran penting karena faktor geopolitik dan ekonomi.

Yang patut diwaspadai ke depan adalah potensi eskalasi serangan yang lebih terarah dan kompleks, mengingat CL-STA-1062 telah aktif selama bertahun-tahun dan terus beradaptasi dengan teknik baru. Para pemangku kepentingan di sektor pemerintah dan infrastruktur harus memperkuat sistem keamanan siber mereka, termasuk deteksi dini terhadap aktivitas web shell dan anomali jaringan, serta pembaruan rutin terhadap sistem pertahanan siber.

Untuk informasi lebih lanjut dan pembaruan terkini tentang ancaman siber ini, pembaca dapat mengikuti perkembangan melalui laporan resmi Unit 42 atau media terpercaya lainnya seperti The Hacker News.

Kesimpulannya, serangan yang menggunakan backdoor TinyRCT menunjukkan bahwa ancaman dari kelompok APT berbahasa Cina ini tidak bisa dipandang remeh dan akan terus menjadi tantangan serius bagi keamanan digital di kawasan ini.