Malware GoSerpent Baru Serang Pemerintah dan Diplomat Asia Tenggara untuk Spionase

Jul 17, 2026 - 16:00
 0  5
Malware GoSerpent Baru Serang Pemerintah dan Diplomat Asia Tenggara untuk Spionase

Para peneliti keamanan siber mengungkap keberadaan malware baru bernama GoSerpent yang menyasar organisasi pemerintah dan diplomat di kawasan Asia Tenggara sejak akhir 2025. Malware ini dirancang khusus untuk mengumpulkan intelijen dan menjaga akses jangka panjang ke sistem korban.

Ad
Ad

GoSerpent: Ancaman Spionase Siber di Asia Tenggara

Perusahaan keamanan siber asal Rusia, Kaspersky, yang menemukan aktivitas ini pada Februari 2026, mengungkapkan bahwa malware GoSerpent ditujukan untuk menyerang entitas pemerintah dan diplomatik di Asia Tenggara. Malware ini bekerja dengan menghubungi server eksternal untuk mengunduh muatan sekunder yang berfungsi mengumpulkan data sensitif dan mencuri kredensial dari sistem yang terinfeksi.

"Pemantauan aktivitas aktor ancaman ini menunjukkan bahwa pada Mei 2026 mereka kembali dengan serangkaian alat berbahaya yang telah dikembangkan: Remote Access Trojan (RAT) Stowaway dan alat proxy baru yang mirip dengan malware awal serta alat tersembunyi tambahan untuk mengekstrak data sensitif yang telah dikumpulkan selama beberapa bulan melalui jaringan berbagi," ujar peneliti keamanan Noushin Shabab dari Kaspersky.

Metode dan Fitur Utama GoSerpent

GoSerpent menggunakan metode komunikasi yang aman dengan menerima argumen baris perintah yang dienkripsi dan dikodekan dalam Base64 berisi alamat server Command and Control (C2) dan kata sandi komunikasi. Setelah didekripsi, malware tersambung ke server C2 melalui koneksi terenkripsi dengan menggunakan hash SHA256 dari kata sandi sebagai kunci enkripsi.

Malware ini mendukung berbagai perintah, antara lain:

  • Memberitahu server bahwa infeksi sedang aktif
  • Mendengarkan pada port tertentu
  • Menutup port yang sedang aktif
  • Menghubungkan ke server jarak jauh
  • Membuka shell di mesin yang terinfeksi
  • Mengunggah file atau direktori ke server
  • Mengunduh file dari server
  • Memulai proxy SOCKS5 di mesin korban
  • Meneruskan koneksi ke node terhubung

Kaspersky menjelaskan, "GoSerpent dapat mendirikan server proxy SOCKS5 untuk mengalihkan lalu lintas melalui host yang terinfeksi, memungkinkan penyerang mengakses jaringan lain sambil menyembunyikan alamat IP asli mereka." Selain itu, malware ini mampu menyebarkan alat tambahan seperti ThumbcacheService untuk pengumpulan file, Mimikatz untuk mencuri kredensial dari memori, dan QuarksDumpLocalHash untuk mengambil hash password lokal dari registri SAM.

Alat Pendukung dan Evolusi Serangan

Selama serangan berlangsung, pelaku juga menggunakan beberapa alat tambahan berikut:

  • McMx RAT: Versi ringan dari GoSerpent dengan fungsi proxy SOCKS5, penerusan port, transfer file, dan shell jarak jauh.
  • ThumbcacheService: DLL yang menambah kemampuan pengumpulan file secara canggih.
  • Mimikatz: Alat populer untuk mengekstrak kredensial dari proses Local Security Authority Subsystem Service (LSASS).
  • QuarksDumpLocalHash: Untuk mengambil hash password akun lokal dari database registri.

Pada Mei 2026, pelaku kembali memasang rangkaian alat baru yang lebih maju, seperti:

  • Stowaway: RAT dan proxy dengan fitur proxy SOCKS5, penerusan port, tunneling terbalik, shell jarak jauh, transfer file, dan tunneling berbasis SSH.
  • TmcLoader: Modul pemuat C++ yang membawa payload terenkripsi bernama TmcPayload.
  • TmcPayload: Digunakan untuk mengekstrak data sensitif yang disimpan dari mesin korban.
"Yang membuat ancaman ini sangat mengkhawatirkan adalah penyebaran strategis berbagai alat dengan kemampuan pengumpulan dan eksfiltrasi data yang canggih," kata Kaspersky. "Rantai dari ThumbcacheService hingga TmcLoader/TmcPayload menunjukkan perencanaan operasi yang matang."

Hubungan dengan Kelompok Ancaman TetrisPhantom

Meskipun atribusi pasti belum jelas, Kaspersky mencatat kampanye ini memiliki kesamaan dalam target, teknik, dan operasi dengan TetrisPhantom, kelompok ancaman yang pertama kali didokumentasikan pada Oktober 2023. TetrisPhantom diketahui menargetkan entitas pemerintah di kawasan Asia-Pasifik dengan metode spionase canggih.

"Para penyerang diam-diam mengawasi dan mengumpulkan data sensitif dari institusi pemerintah APAC dengan mengeksploitasi jenis USB drive aman tertentu yang dilindungi enkripsi perangkat keras," ungkap Kaspersky. "Kampanye ini melibatkan berbagai modul berbahaya yang memungkinkan pengendalian penuh perangkat korban, eksekusi perintah, pengumpulan file dan informasi, serta transfer data menggunakan USB drive aman sebagai media."

Rantai Serangan DoNot Team di Asia Selatan

Bersamaan dengan pengungkapan GoSerpent, Cyderes Howler Cell melaporkan operasi spionase siber yang dilakukan oleh kelompok DoNot Team yang menargetkan militer dan pertahanan Bangladesh melalui email spear-phishing berisi dokumen RTF berbahaya. Dokumen ini menginstal implant DLL yang menyamarkan diri sebagai telemetry OneDrive dan menghubungkan ke server C2 melalui HTTPS.

Para peneliti menyebutkan bahwa serangan menggunakan teknik remote template injection dan VBA macro yang dibatasi secara geografis agar hanya menargetkan wilayah tertentu, serta menggunakan shellcode berlapis yang dikodekan XOR untuk menghindari deteksi.

Implant ini mampu mengunduh payload tambahan dengan fitur modular dan persistence melalui scheduled task, memperlihatkan tingkat kecanggihan yang tinggi dari kelompok DoNot Team.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan malware GoSerpent menunjukkan eskalasi yang signifikan dalam ancaman spionase siber terhadap institusi pemerintahan dan diplomatik di Asia Tenggara. Dengan kemampuan untuk membangun proxy SOCKS5 dan menggunakan alat pencuri kredensial tingkat lanjut, aktor ancaman dapat menyusup ke jaringan penting secara tersembunyi dan mengendalikan akses selama berbulan-bulan tanpa terdeteksi.

Strategi penggunaan beberapa alat dalam satu rangkaian operasi memperlihatkan tingkat profesionalisme yang tinggi dan pemahaman mendalam tentang jaringan target. Ini mengindikasikan bahwa kelompok di balik GoSerpent kemungkinan mendapatkan dukungan sumber daya besar, sehingga keberhasilan serangan dapat berdampak luas pada keamanan nasional dan diplomasi regional.

Ke depan, institusi di Asia Tenggara harus meningkatkan pengawasan keamanan siber, terutama pada akses jaringan dan pengelolaan kredensial. Mereka juga perlu mengantisipasi serangan serupa yang mungkin muncul dengan teknik dan alat yang semakin canggih. Untuk informasi lebih lanjut dan update terkini mengenai ancaman siber ini, pembaca dapat mengunjungi sumber asli artikel di sini serta mengikuti laporan keamanan dari Kompas.

Dengan meningkatnya ancaman spionase siber, kewaspadaan dan kolaborasi regional menjadi kunci utama dalam menjaga keamanan data dan kedaulatan digital negara-negara Asia Tenggara.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad