Kelompok ancaman siber yang berafiliasi dengan China, dikenal dengan kode UTA0388, menjadi sorotan dunia keamanan digital setelah terungkap melancarkan kampanye spear-phishing internasional yang menyasar organisasi di Amerika Utara, Asia, dan Eropa. Kampanye ini menggunakan malware canggih berbasis bahasa pemrograman Go yang dikenal dengan nama GOVERSHELL, menjadikannya salah satu operasi spionase siber paling kompleks yang terdeteksi sepanjang 2025.
Menurut laporan dari firma keamanan Volexity, pesan-pesan phishing yang pertama kali diamati dibuat sangat spesifik dan tampak sah, seolah-olah dikirim oleh peneliti atau analis senior dari organisasi profesional. Namun, organisasi tersebut sepenuhnya palsu. Tujuannya jelas: mengelabui target agar mengklik tautan berbahaya yang mengarah ke arsip berisi muatan malware. Pendekatan personal ini memperlihatkan kemampuan tinggi UTA0388 dalam rekayasa sosial (social engineering), memanfaatkan kepercayaan manusia untuk menembus lapisan pertahanan siber perusahaan.
Evolusi Serangan: Dari Cloud Hosting hingga Rapport-Building Phishing
Dalam fase awal, pelaku UTA0388 menyebarkan tautan phishing melalui layanan cloud populer seperti Netlify, Sync, dan OneDrive, serta melalui infrastruktur milik mereka sendiri. Ketika korban mengakses tautan tersebut, sistem mereka tanpa sadar mengunduh arsip berformat ZIP atau RAR yang berisi file DLL jahat. File ini kemudian dijalankan secara diam-diam menggunakan teknik DLL side-loading, metode yang sering dipakai untuk mem-bypass deteksi antivirus dan mengeksekusi backdoor tanpa menarik perhatian pengguna.
Namun, seiring waktu, metode UTA0388 berkembang menjadi lebih rumit. Mereka mulai menerapkan strategi rapport-building phishing, yaitu membangun hubungan dengan target terlebih dahulu—baik melalui email, forum, atau platform profesional—sebelum akhirnya mengirimkan tautan berbahaya. Teknik ini membuat serangan mereka tampak lebih meyakinkan dan jauh lebih sulit dikenali oleh sistem keamanan konvensional.
Malware GOVERSHELL: Senjata Utama dalam Operasi Siber UTA0388
Inti dari seluruh kampanye ini adalah malware GOVERSHELL, sebuah backdoor yang dikembangkan dengan bahasa Go (Golang). Menurut temuan Volexity, GOVERSHELL merupakan penerus dari malware C++ lama bernama HealthKick, dan saat ini telah ditemukan dalam lima varian berbeda yang masing-masing memiliki fungsi unik:
-
HealthKick (April 2025): Menjalankan perintah melalui cmd.exe.
-
TE32 (Juni 2025): Mengeksekusi perintah secara langsung lewat PowerShell reverse shell.
-
TE64 (Juli 2025): Menggunakan PowerShell untuk mengumpulkan informasi sistem dan menjalankan perintah dinamis.
-
WebSocket (Juli 2025 pertengahan): Mengirim perintah PowerShell dan memiliki sub-command “update” yang belum diaktifkan.
-
Beacon (September 2025): Mampu menyesuaikan interval polling, merandomisasinya, dan menjalankan PowerShell secara native.
Setiap varian menunjukkan bahwa GOVERSHELL terus dikembangkan secara aktif. Bahkan, dalam beberapa kasus, malware ini dapat memodifikasi perilakunya secara dinamis tergantung pada sistem yang diserang.
Penyalahgunaan Layanan Sah dan Infrastruktur Email Terenkripsi
Serangan UTA0388 tidak hanya mengandalkan malware berteknologi tinggi. Mereka juga menyalahgunakan layanan dan platform sah untuk menyamarkan aktivitas mereka. Arsip berbahaya kerap diunggah ke layanan berbagi file seperti Netlify, Sync, dan OneDrive, sementara email pengirim sering berasal dari Proton Mail, Microsoft Outlook, dan Gmail—platform populer yang memiliki reputasi aman. Strategi ini mempersulit deteksi otomatis oleh sistem keamanan karena domain dan penyedia layanan yang digunakan terlihat sah di permukaan.
Selain itu, aktivitas UTA0388 tumpang tindih dengan kelompok lain yang dilacak oleh Proofpoint dengan nama UNK_DropPitch, menandakan adanya kemungkinan koordinasi atau pertukaran infrastruktur antar kelompok pro-China.
Pemanfaatan ChatGPT: Automasi Kampanye dan Konten Phishing Multibahasa
Hal yang paling mengkhawatirkan dari seluruh operasi ini adalah penggunaan ChatGPT oleh kelompok UTA0388. Laporan terbaru menyebutkan bahwa pelaku menggunakan model bahasa besar (LLM) untuk membuat konten phishing dalam berbagai bahasa—termasuk Inggris, Mandarin, dan Jepang—serta untuk membantu menulis skrip berbahaya dan mencari panduan instalasi alat open-source seperti nuclei dan fscan.
OpenAI telah mengonfirmasi bahwa akun-akun ChatGPT yang digunakan untuk tujuan ini sudah diblokir, namun kasus ini membuka mata dunia terhadap potensi penyalahgunaan kecerdasan buatan dalam operasi siber. Indikasi otomatisasi juga terlihat pada koherensi pesan yang buruk dan persona fiktif yang diciptakan tanpa keterlibatan manusia nyata.
Target Geopolitik dan Dampak Regional
Analisis Volexity menunjukkan bahwa sasaran utama dari kampanye ini memiliki keterkaitan dengan isu geopolitik Asia, terutama Taiwan. Serangan UTA0388 tampaknya dirancang untuk mengumpulkan intelijen strategis dan politik, bukan sekadar mencuri data finansial. Hal ini sejalan dengan pola aktivitas kelompok siber pro-China lainnya yang berfokus pada pengawasan dan pengaruh geopolitik regional.
Dalam laporan terpisah, StrikeReady Labs juga mengungkap bahwa kampanye siber serupa—yang diduga masih terkait dengan jaringan pro-China—telah menargetkan departemen penerbangan pemerintah Serbia, serta lembaga di Hungaria, Belgia, Italia, dan Belanda. Serangan tersebut menggunakan metode phishing serupa dengan halaman verifikasi Cloudflare palsu yang mengarahkan korban untuk mengunduh arsip ZIP berisi Windows shortcut (LNK) yang mengeksekusi malware PlugX.
Kampanye UTA0388 menjadi contoh nyata evolusi serangan siber modern yang menggabungkan rekayasa sosial, eksploitasi infrastruktur cloud, dan kecerdasan buatan (AI) untuk mencapai efisiensi tinggi. Penggunaan ChatGPT dalam menciptakan konten phishing multibahasa memperlihatkan bagaimana AI kini menjadi alat baru dalam operasi spionase digital.
Dengan terus berkembangnya varian GOVERSHELL dan meningkatnya otomatisasi serangan, organisasi perlu memperkuat deteksi email berlapis, analisis perilaku endpoint, serta pemantauan komunikasi keluar (outbound monitoring) untuk mendeteksi anomali sekecil apa pun. Dalam era di mana AI bisa digunakan untuk tujuan destruktif, kesiapan dan kewaspadaan menjadi benteng utama melawan ancaman seperti UTA0388.