GoldenEyeDog dan Dugaan Pencurian Sertifikat DigiCert April 2026 Terungkap
Kelompok GoldenEyeDog, atau yang dikenal juga sebagai APT-Q-27 dan Dragon Breath, diduga kuat menjadi pelaku utama dalam pelanggaran keamanan yang terjadi pada DigiCert pada April 2026. Insiden ini melibatkan pencurian sertifikat penandatanganan kode yang kemudian digunakan untuk menandatangani malware berbahaya, termasuk varian Zhong Stealer.
Identifikasi Kelompok dan Modus Operandi
Menurut laporan dari Expel, pelaku yang diberi nama kelompok CylindricalCanine merupakan sub-grup dari GoldenEyeDog, grup siber asal Tiongkok yang sejak 2015 dikenal menargetkan sektor perjudian dan gaming melalui situs palsu yang menyebarkan perangkat lunak berbahaya.
Modus utama yang digunakan oleh kelompok ini adalah malware yang dimodifikasi, yaitu Golden Gh0st RAT—versi dari remote access trojan (RAT) Gh0st yang banyak dipakai kelompok siber Tiongkok lainnya. Malware ini didistribusikan menggunakan Golden Gh0st Loader, dan melibatkan teknik multi-tahap untuk mengelabui korban, seperti menyamar sebagai program populer seperti Google Chrome dan Microsoft Teams.
Detail Pelanggaran Keamanan DigiCert
Insiden di DigiCert terjadi ketika pelaku berhasil mengakses perangkat dua analis dukungan pelanggan DigiCert melalui payload berbahaya yang dikirimkan lewat saluran chat pelanggan. Payload tersebut disamarkan sebagai file ZIP yang diklaim sebagai screenshot pelanggan. Setelah berhasil masuk, pelaku memanfaatkan fungsi terbatas di portal dukungan pelanggan untuk mengakses kode inisialisasi pesanan sertifikat EV Code Signing yang telah disetujui namun belum dikirim.
Penguasaan kode inisialisasi ini memungkinkan pelaku memperoleh sertifikat EV Code Signing secara ilegal, yang kemudian digunakan untuk menandatangani malware dan mengelabui sistem keamanan. DigiCert mengungkapkan telah mencabut 60 sertifikat yang disalahgunakan, dengan 27 di antaranya secara eksplisit dikaitkan dengan aktivitas GoldenEyeDog dan Zhong Stealer.
DigiCert juga melakukan perubahan kode pada portal internalnya untuk menyembunyikan kode inisialisasi dari pengguna yang mengakses melalui akun yang diproksikan, guna mencegah insiden serupa di masa depan.
Rantai Serangan dan Teknik Malware
Expel menjelaskan bahwa metode serangan utama CylindricalCanine adalah pengiriman email phishing yang berisi tautan ke file berbahaya, disamarkan sebagai screenshot. Setelah korban mengunduh dan menjalankan file tersebut, rantai eksekusi berlanjut ke teknik DLL side-loading, yang mengaktifkan pemuatan payload tersembunyi, yaitu file "update.log" yang berisi Golden Gh0st RAT.
Golden Gh0st RAT memiliki kemampuan canggih seperti menetapkan persistence, mencuri data sensitif, membuat terowongan proxy SOCKS, merekam ketukan keyboard, mengambil screenshot, menjalankan perintah shell, dan menghapus log Windows Event untuk menutupi jejak aktivitasnya. Malware ini secara khusus menargetkan aplikasi populer seperti Skype, Google Chrome, Mozilla Firefox, dan browser Tencent QQ untuk mengumpulkan data.
Implikasi dan Tren Penyalahgunaan Sertifikat Kode
Kejadian ini menambah daftar panjang insiden penyalahgunaan sertifikat penandatanganan kode oleh kelompok siber, termasuk Black Basta, TamperedChef, dan Rhysida. Penggunaan sertifikat resmi yang dicuri membuat malware lebih sulit dideteksi oleh sistem keamanan, sehingga memperbesar risiko serangan terhadap organisasi dan pengguna akhir.
Analisis Redaksi
Menurut pandangan redaksi, pelanggaran keamanan DigiCert yang melibatkan GoldenEyeDog ini menandai titik krusial dalam evolusi teknik serangan siber yang mengandalkan penyalahgunaan sertifikat digital resmi. Tidak hanya mengancam perusahaan sertifikasi dan pelanggan mereka, hal ini juga menggarisbawahi pentingnya pengawasan dan penguatan keamanan internal, khususnya pada akses staf dan sistem portal dukungan pelanggan.
Selain itu, penggunaan RAT modular seperti Golden Gh0st RAT yang terus dikembangkan dan disamarkan dengan teknik multi-tahap menunjukkan bahwa kelompok siber Tiongkok semakin mahir dalam mengelabui sistem dan bertahan lama di jaringan korban. Masyarakat dan perusahaan, terutama di sektor keuangan dan teknologi, harus meningkatkan kesiapsiagaan dan deteksi dini terhadap serangan phishing dan malware canggih.
Kedepannya, perlu ada kolaborasi erat antara penyedia sertifikat, perusahaan keamanan, dan regulator guna memperketat standar dan prosedur verifikasi, serta meminimalkan risiko pencurian sertifikat serupa. Pembaca disarankan untuk terus mengikuti perkembangan terkait keamanan digital dan serangan siber yang semakin kompleks.
Untuk informasi lebih rinci dan update terkini, jangan lewatkan berita dan analisis kami di Google News, Twitter, dan LinkedIn.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0