.png)
Sebuah operasi spionase siber yang diduga berasal dari China dilaporkan menargetkan organisasi militer di kawasan Asia Tenggara dalam sebuah kampanye yang diyakini telah berlangsung setidaknya sejak tahun 2020. Aktivitas tersebut diidentifikasi oleh tim peneliti keamanan dari Palo Alto Networks Unit 42 yang melacaknya sebagai sebuah klaster ancaman bernama CL-STA-1087. Dalam penamaan ini, “CL” merujuk pada cluster aktivitas, sementara “STA” menunjukkan indikasi motivasi yang berkaitan dengan operasi yang didukung oleh negara.
Menurut para peneliti keamanan Lior Rochberger dan Yoav Zemah, operasi ini tidak menunjukkan pola pencurian data dalam skala besar seperti yang sering terlihat pada serangan siber oportunistik. Sebaliknya, aktivitasnya menunjukkan pendekatan yang sangat terarah dan penuh kesabaran operasional. Para pelaku terlihat secara aktif mencari dan mengumpulkan file yang sangat spesifik, terutama yang berkaitan dengan kemampuan militer, struktur organisasi militer, serta berbagai bentuk kerja sama antara negara-negara di Asia Tenggara dengan angkatan bersenjata Barat.
Pendekatan semacam ini sering kali menjadi indikator kuat dari operasi Advanced Persistent Threat atau APT. Serangan APT biasanya dirancang untuk mempertahankan akses jangka panjang pada sistem target dengan tujuan pengumpulan intelijen secara berkelanjutan. Dalam kampanye yang dianalisis oleh Unit 42 ini, para peneliti menemukan sejumlah karakteristik yang umum ditemukan pada operasi APT, termasuk metode distribusi malware yang dirancang secara hati-hati, teknik penghindaran deteksi terhadap sistem keamanan, infrastruktur operasi yang stabil, serta penggunaan payload khusus yang dirancang untuk mempertahankan akses tidak sah dalam jangka waktu lama.
Beberapa alat yang digunakan oleh pelaku dalam aktivitas ini mencakup backdoor bernama AppleChris dan MemFun, serta alat pengambil kredensial yang disebut Getpass. Ketiga komponen ini memainkan peran berbeda dalam rantai serangan, mulai dari mempertahankan akses jarak jauh hingga mengumpulkan informasi autentikasi yang dapat digunakan untuk memperluas akses ke sistem lain di dalam jaringan yang telah disusupi.
Unit 42 pertama kali mendeteksi aktivitas mencurigakan tersebut setelah mengidentifikasi eksekusi skrip PowerShell yang tidak biasa. Skrip tersebut dirancang untuk memasuki kondisi tidur selama enam jam sebelum akhirnya membuat koneksi reverse shell ke server command-and-control yang dikendalikan oleh pelaku serangan. Teknik penundaan eksekusi seperti ini sering digunakan dalam operasi spionase siber untuk menghindari deteksi oleh sistem keamanan otomatis yang biasanya hanya memantau aktivitas dalam periode waktu terbatas.
Meskipun aktivitas berbahaya telah dianalisis secara rinci, metode awal yang digunakan untuk mendapatkan akses ke jaringan target masih belum diketahui secara pasti. Namun setelah akses awal berhasil diperoleh, pelaku terlihat melakukan pergerakan lateral di dalam jaringan korban sebelum menyebarkan berbagai varian malware AppleChris pada endpoint yang berbeda. Penyebaran ini dilakukan untuk mempertahankan keberlanjutan akses sekaligus menghindari deteksi berbasis tanda tangan pada sistem keamanan tradisional.
Dalam tahap eksplorasi data, para penyerang menunjukkan minat khusus terhadap berbagai dokumen yang berkaitan dengan aktivitas militer resmi. Pencarian yang dilakukan oleh pelaku mencakup catatan pertemuan resmi, aktivitas militer bersama, serta evaluasi mendetail mengenai kemampuan operasional organisasi militer yang menjadi target. Selain itu, para peneliti juga menemukan bahwa pelaku secara aktif mencari informasi yang berkaitan dengan struktur organisasi militer dan strategi operasional, termasuk sistem command, control, communications, computers, and intelligence atau yang dikenal sebagai C4I.
Backdoor AppleChris dan MemFun memiliki mekanisme komunikasi yang dirancang untuk menyembunyikan alamat server pengendali yang sebenarnya. Kedua malware tersebut memanfaatkan akun bersama pada platform Pastebin sebagai dead drop resolver, sebuah teknik yang memungkinkan malware mengambil alamat command-and-control yang sebenarnya dari data yang telah dienkode dalam format Base64. Pendekatan ini membantu pelaku mengaburkan jejak infrastruktur mereka dan mempermudah perubahan alamat server tanpa perlu memperbarui malware yang telah disebarkan ke sistem target.
Salah satu varian AppleChris juga diketahui menggunakan layanan penyimpanan cloud Dropbox untuk mengambil informasi alamat server command-and-control. Namun metode berbasis Pastebin tetap digunakan sebagai mekanisme cadangan apabila metode utama gagal. Menurut analisis Unit 42, beberapa entri Pastebin yang digunakan dalam operasi ini telah ada sejak September 2020, yang menunjukkan bahwa infrastruktur kampanye tersebut telah dipersiapkan dan dipertahankan selama beberapa tahun.
AppleChris sendiri diluncurkan melalui teknik yang dikenal sebagai DLL hijacking. Setelah aktif, malware ini akan menghubungi server command-and-control untuk menerima berbagai instruksi dari operator. Kemampuan yang dimiliki oleh backdoor ini mencakup enumerasi drive pada sistem korban, penelusuran direktori, pengunggahan dan pengunduhan file, penghapusan data, enumerasi proses, eksekusi remote shell, serta pembuatan proses secara diam-diam di latar belakang.
Peneliti juga mengidentifikasi varian lain dari tunneler yang merupakan evolusi dari versi sebelumnya. Versi terbaru ini hanya mengandalkan Pastebin untuk mendapatkan alamat server command-and-control dan memperkenalkan kemampuan proxy jaringan yang lebih canggih. Fitur tersebut memungkinkan malware untuk merutekan lalu lintas komunikasi melalui sistem yang telah terinfeksi, sehingga mempersulit proses pelacakan aktivitas oleh tim keamanan.
Untuk menghindari deteksi oleh sistem keamanan otomatis, beberapa varian malware dalam kampanye ini juga menerapkan teknik sandbox evasion. Pada tahap eksekusi, malware menggunakan mekanisme penundaan waktu sebelum menjalankan fungsi utamanya. Varian dalam bentuk executable diketahui menunggu sekitar 30 detik sebelum melanjutkan aktivitas, sementara varian DLL menunggu hingga 120 detik. Pendekatan ini dirancang untuk melewati jendela pemantauan yang biasanya digunakan oleh sandbox otomatis untuk menganalisis perilaku malware.
Sementara itu, malware MemFun memiliki arsitektur yang lebih kompleks dibandingkan AppleChris. Eksekusinya dimulai melalui rantai infeksi multi-tahap yang melibatkan loader awal yang menyuntikkan shellcode. Shellcode tersebut kemudian menjalankan downloader berbasis memori yang bertugas mengambil konfigurasi command-and-control dari Pastebin serta berkomunikasi dengan server pengendali untuk mendapatkan modul tambahan dalam bentuk file DLL.
Karena file DLL tersebut diunduh langsung dari server command-and-control saat runtime, operator serangan dapat dengan mudah mengganti payload tanpa perlu memodifikasi komponen awal malware. Kemampuan ini menjadikan MemFun sebagai platform malware modular yang fleksibel, berbeda dengan AppleChris yang berfungsi lebih sebagai backdoor statis.
Eksekusi MemFun juga melibatkan teknik anti-forensik. Dropper awal melakukan sejumlah pemeriksaan untuk mendeteksi lingkungan analisis sebelum memodifikasi timestamp pembuatan file miliknya sendiri agar sesuai dengan waktu pembuatan direktori sistem Windows. Setelah itu, payload utama disuntikkan ke dalam memori proses yang ditangguhkan yang terkait dengan “dllhost.exe” menggunakan teknik yang dikenal sebagai process hollowing.
Dengan menjalankan dirinya di dalam proses Windows yang sah, malware tersebut dapat beroperasi tanpa menimbulkan artefak tambahan pada disk serta mengurangi kemungkinan terdeteksi oleh perangkat keamanan endpoint.
Selain backdoor dan loader malware, para penyerang juga menggunakan versi khusus dari alat populer Mimikatz yang dinamai Getpass. Alat ini dirancang untuk meningkatkan hak akses dan mencoba mengekstrak password dalam bentuk plaintext, hash NTLM, serta berbagai data autentikasi langsung dari memori proses “lsass.exe”, yang merupakan komponen penting dalam sistem autentikasi Windows.
Menurut Unit 42, keseluruhan operasi menunjukkan tingkat disiplin operasional yang tinggi. Para pelaku tidak terburu-buru mengekstraksi data secara besar-besaran, melainkan mempertahankan akses yang tidak aktif selama berbulan-bulan sambil secara selektif mengumpulkan informasi yang dianggap bernilai strategis. Pendekatan tersebut juga disertai dengan praktik keamanan operasional yang kuat untuk menjaga keberlanjutan kampanye dan meminimalkan risiko terdeteksi oleh pihak yang menjadi target.
Analisis terhadap kampanye CL-STA-1087 menunjukkan bagaimana operasi spionase siber modern semakin mengutamakan presisi dan ketahanan jangka panjang dibandingkan serangan yang berorientasi pada volume data. Dalam konteks keamanan siber global, aktivitas semacam ini memperlihatkan bagaimana infrastruktur militer dan organisasi strategis tetap menjadi target utama operasi pengumpulan intelijen berbasis siber.