Malware Speagle Bajak Cobra DocGuard untuk Curi Data via Server Tersusupi

Peneliti keamanan siber telah mengungkapkan keberadaan malware baru bernama Speagle yang secara cerdik membajak fungsi dan infrastruktur dari sebuah program sah bernama Cobra DocGuard. Malware ini dirancang untuk mencuri data sensitif dengan menyamar sebagai komunikasi sah antara klien dan server, sehingga aktivitas pencurian data sulit terdeteksi.

Speagle dan Penyalahgunaan Cobra DocGuard

Cobra DocGuard adalah platform keamanan dokumen dan enkripsi yang dikembangkan oleh EsafeNet. Hingga saat ini, penyalahgunaan perangkat lunak ini dalam serangan nyata telah tercatat sebanyak dua kali. Pada Januari 2023, ESET mendokumentasikan kasus di mana sebuah perusahaan judi di Hong Kong menjadi korban penyusupan melalui pembaruan berbahaya yang didistribusikan lewat software ini pada September 2022.

Selanjutnya, pada Agustus 2023, Symantec mengungkap aktivitas kelompok ancaman baru bernama Carderbee yang menggunakan versi trojanized dari Cobra DocGuard untuk menyebarkan PlugX, sebuah backdoor yang kerap digunakan oleh kelompok peretas asal Tiongkok seperti Mustang Panda. Serangan ini menargetkan berbagai organisasi di Hong Kong dan negara-negara Asia lainnya.

Target Spesifik dan Modus Operandi Speagle

Speagle masih belum diketahui siapa pembuatnya. Namun, yang membuat malware ini menonjol adalah kemampuannya untuk mengumpulkan dan mengekstrak data hanya dari sistem yang menginstal software Cobra DocGuard. Aktivitas malware ini dipantau dengan nama sandi Runningcrab.

"Ini menunjukkan adanya penargetan yang disengaja, kemungkinan untuk memfasilitasi pengumpulan intelijen atau spionase industri," kata tim pemburu ancaman dari Broadcom yang menaungi Symantec dan Carbon Black.

Mereka menambahkan bahwa dugaan paling kuat adalah malware ini merupakan karya aktor negara atau kontraktor swasta yang disewa untuk kegiatan spionase siber.

Metode penyebaran Speagle belum diketahui secara pasti, namun ada indikasi kuat bahwa ini dilakukan melalui serangan rantai pasok mengingat dua kasus terdahulu yang melibatkan pembaruan perangkat lunak berbahaya.

Peran Infrastruktur Cobra DocGuard dalam Serangan

Speagle tidak hanya menggunakan server Cobra DocGuard yang sudah tersusupi untuk command-and-control (C2) dan sebagai titik pengiriman data curian, tetapi juga memanfaatkan driver yang terkait dengan program tersebut untuk menghapus dirinya sendiri dari komputer korban agar tidak terdeteksi.

Program eksekusi 32-bit berbasis .NET ini, setelah dijalankan, akan memeriksa folder instalasi Cobra DocGuard dan kemudian secara bertahap mengumpulkan dan mengirimkan data dari komputer yang terinfeksi. Data yang dicuri meliputi informasi sistem dan file dalam folder tertentu, seperti riwayat browser dan data autofill.

Satu varian Speagle bahkan dilengkapi dengan fungsi tambahan yang memungkinkan pengendalian aktif atau tidaknya pengumpulan data tertentu serta kemampuan mencari file terkait rudal balistik Tiongkok seperti Dongfeng-27 (DF-27).

Implikasi dan Risiko Spionase Siber

Menurut para peneliti, "Speagle adalah ancaman parasitik yang canggih yang memanfaatkan klien Cobra DocGuard untuk menyamarkan aktivitas jahatnya dan infrastrukturnya untuk menyembunyikan lalu lintas pencurian data." Mereka juga menilai bahwa pembuat malware ini sangat memperhatikan serangan rantai pasok terdahulu yang menggunakan software ini, memilihnya karena dianggap rentan sekaligus banyak digunakan oleh organisasi yang menjadi target.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Speagle menandai peningkatan signifikan dalam taktik spionase siber yang mengincar sistem keamanan dokumen tingkat tinggi. Dengan menggunakan platform keamanan yang seharusnya melindungi data, malware ini justru menyusup dan mengeksploitasi kepercayaan sistem tersebut. Ini bukan hanya masalah teknis semata, tapi juga pertanda bahwa aktor jahat semakin cerdas dalam memilih target dan metode penyerangan.

Hal ini membawa konsekuensi serius bagi organisasi yang mengandalkan solusi keamanan pihak ketiga. Ancaman serangan rantai pasok seperti yang terlihat dalam kasus Speagle harus menjadi perhatian utama bagi pengelola TI dan keamanan siber, terutama di sektor-sektor sensitif seperti pemerintahan, industri pertahanan, dan riset teknologi tinggi.

Ke depan, penting bagi komunitas keamanan siber untuk meningkatkan pengawasan terhadap pembaruan perangkat lunak dan melakukan audit ketat terhadap infrastruktur yang digunakan dalam komunikasi data. Para pengguna Cobra DocGuard dan sistem serupa wajib segera melakukan evaluasi mendalam dan memperkuat mekanisme deteksi anomali guna menghindari kebocoran data yang lebih luas.

Untuk informasi terbaru dan analisis mendalam mengenai keamanan siber, ikuti terus update kami melalui Google News, Twitter, dan LinkedIn.