Dunia siber kembali diguncang oleh aktivitas spionase tingkat tinggi yang dilakukan oleh kelompok yang sebelumnya tidak terdokumentasi, diberi nama TGR-STA-1030 oleh Palo Alto Networks Unit 42. Dalam satu tahun terakhir, kelompok ini berhasil menembus jaringan 70 organisasi pemerintah dan infrastruktur kritis di 37 negara, sekaligus melakukan pengintaian terhadap sistem pemerintahan di 155 negara. Target mereka bukan sembarangan: kementerian keuangan, lembaga penegak hukum nasional, hingga departemen yang mengurusi ekonomi, perdagangan, dan diplomasi.
Analisis Unit 42 mengungkap pola serangan yang khas. Kelompok ini diduga berasal dari Asia, ditunjukkan oleh preferensi bahasa, jam operasi GMT+8, serta alat dan layanan regional yang mereka gunakan. Strategi awal mereka memanfaatkan phishing email, yang mengarahkan korban ke layanan file hosting MEGA berbasis Selandia Baru. File ZIP yang diterima berisi malware Diaoyu Loader dan file kosong pic1.png. Malware ini memeriksa kondisi lingkungan sebelum dijalankan, seperti resolusi layar minimal dan keberadaan file PNG, untuk menghindari deteksi otomatis.
Setelah “cek keamanan” terpenuhi, malware melakukan pemeriksaan terhadap keberadaan beberapa program antivirus populer seperti Avira, Kaspersky, Bitdefender, Sentinel One, dan Symantec. Tujuannya adalah memastikan tidak ada perangkat lunak yang dapat menghentikan eksekusi mereka. Setelah itu, malware men-download file dari GitHub untuk menyebarkan Cobalt Strike payload, alat terkenal yang digunakan untuk mendapatkan kontrol penuh atas sistem target. Selain itu, TGR-STA-1030 juga mengeksploitasi berbagai N-day vulnerabilities pada software populer, termasuk produk Microsoft, SAP, Atlassian, dan Commvault.
Dalam operasionalnya, kelompok ini menggunakan rangkaian tools canggih, mulai dari command-and-control frameworks seperti Cobalt Strike, Sliver, dan SparkRAT, hingga web shells seperti Behinder dan Godzilla, serta tunnelers untuk menyamarkan koneksi mereka. Beberapa metode yang digunakan, termasuk rootkit Linux bernama ShadowGuard, menunjukkan tingkat kecanggihan tinggi, karena mampu menyembunyikan proses, file, dan direktori dari analisis sistem.
Unit 42 juga menekankan bahwa TGR-STA-1030 cermat dalam menjaga keberlangsungan akses mereka. Mereka menyewa VPS legal untuk meng-host server C2, menggunakan server tambahan sebagai relay agar jejak digital lebih sulit dilacak. Dengan cara ini, kelompok ini bisa mempertahankan akses ke sistem target selama berbulan-bulan, mengumpulkan intelijen secara terus-menerus.
Meski motivasi kelompok ini tampak pada spionase siber, dampaknya sangat serius. Target mereka adalah sistem vital pemerintah dan infrastruktur penting, dengan prioritas negara yang memiliki hubungan ekonomi strategis. Skala operasi, metode yang digunakan, serta kemampuan bertahan lama di jaringan target membuat TGR-STA-1030 menjadi salah satu ancaman global yang paling berbahaya saat ini.
Peringatan ini menunjukkan bahwa keamanan nasional tidak lagi sekadar soal pertahanan fisik. Di era digital, setiap email, setiap server, dan setiap file bisa menjadi pintu masuk bagi aktor yang sangat terorganisir dan berteknologi tinggi. Memahami modus operandi TGR-STA-1030 menjadi kunci untuk memperkuat sistem pertahanan siber di seluruh dunia.