Kelompok spionase siber yang disponsori negara Tiongkok, UNC5174—yang juga dikenal dengan alias “Uteus”—muncul kembali dengan kampanye canggih yang menargetkan sistem Linux dan macOS. Kelompok ini menggunakan kombinasi malware khusus dan alat sumber terbuka untuk menyusup ke jaringan, menghindari deteksi, dan berpotensi menjadi perantara akses ke lingkungan yang disusupi.
Kembali Secara Diam-diam
Setelah periode yang relatif tidak aktif, UNC5174 telah diamati meluncurkan gelombang serangan baru sejak akhir tahun 2024. Operasi kelompok tersebut ditandai dengan penyebaran dropper malware khusus bernama SNOWLIGHT, yang berfungsi sebagai saluran untuk mengirimkan muatan tanpa file di dalam memori yang dikenal sebagai VShell—Trojan Akses Jarak Jauh (RAT) yang disukai oleh penjahat dunia maya berbahasa Mandarin.
Urutan serangan biasanya dimulai dengan eksekusi skrip bash berbahaya, yang sering disebut download_backd.sh, yang mengunduh dan memasang biner SNOWLIGHT. Biner ini menjalin komunikasi dengan server perintah dan kontrol (C2) melalui WebSockets, yang memfasilitasi pengiriman muatan VShell berikutnya. Khususnya, VShell beroperasi sepenuhnya dalam memori, meninggalkan jejak forensik yang minimal dan mempersulit upaya deteksi.
Memanfaatkan Alat Open-Source untuk Pengaburan
Penggunaan perangkat sumber terbuka seperti VShell dan WebSockets yang strategis oleh UNC5174 menggarisbawahi tren yang lebih luas di antara pelaku ancaman persisten tingkat lanjut (APT) untuk memanfaatkan perangkat lunak yang tersedia untuk umum untuk tujuan jahat. Pendekatan ini tidak hanya mengurangi biaya pengembangan tetapi juga memungkinkan pelaku ancaman untuk berbaur dengan penjahat dunia maya yang kurang canggih, sehingga mempersulit atribusi.
VShell, khususnya, telah menarik perhatian karena kemampuan silumannya. Beroperasi melalui koneksi WebSocket terenkripsi pada port HTTPS standar, alat ini memfasilitasi komunikasi terenkripsi secara real-time dengan server C2, yang secara efektif melewati banyak langkah keamanan tradisional. Eksekusi dalam memori alat ini semakin meningkatkan kemampuan mengelaknya, sehingga tidak terdeteksi oleh solusi pemindaian berbasis file.
Jangkauan Global dan Industri yang Ditargetkan
Aktivitas UNC5174 baru-baru ini terutama menargetkan organisasi-organisasi di Amerika Serikat, dengan indikator-indikator tambahan yang menunjukkan adanya pelanggaran terdeteksi di negara-negara seperti Hong Kong, Taiwan, Jepang, Jerman, dan Prancis. Fokus kelompok ini mencakup berbagai sektor, termasuk lembaga pemerintah, lembaga penelitian, perusahaan teknologi, dan lembaga swadaya masyarakat (LSM).
Dalam operasi sebelumnya, UNC5174 mengeksploitasi kerentanan dalam perangkat lunak yang banyak digunakan, seperti F5 BIG-IP dan ConnectWise ScreenConnect, untuk mendapatkan akses tidak sah ke jaringan. Kelompok ini juga telah dikaitkan dengan operasi phishing yang menggunakan teknik domain squatting, menyamar sebagai entitas terkemuka seperti Cloudflare, Google, dan Telegram untuk menipu target agar menjalankan skrip berbahaya.
Implikasi dan Rekomendasi
Kebangkitan UNC5174 menyoroti ancaman berkelanjutan yang ditimbulkan oleh kelompok spionase siber yang disponsori negara. Penggunaan alat sumber terbuka dan malware canggih oleh mereka secara mahir menggarisbawahi perlunya organisasi untuk mengadopsi langkah-langkah keamanan siber yang proaktif dan komprehensif.
Rekomendasi untuk Organisasi:
- Terapkan Pemantauan Jaringan: Terapkan solusi pemantauan jaringan canggih yang mampu mendeteksi perilaku anomali, seperti lalu lintas WebSocket yang tidak biasa atau pola eksekusi dalam memori.
- Perbarui Sistem Secara Teratur: Pastikan semua sistem dan aplikasi diperbarui dengan patch keamanan terbaru untuk mengurangi kerentanan yang diketahui.
- Mendidik Karyawan: Lakukan sesi pelatihan rutin untuk mendidik staf tentang taktik phishing dan pentingnya memverifikasi keaslian email dan situs web.
- Batasi Eksekusi Skrip: Terapkan kebijakan yang membatasi eksekusi skrip yang tidak sah, terutama yang diunduh dari sumber yang tidak terverifikasi.
- Memanfaatkan Deteksi dan Respons Titik Akhir (EDR): Gunakan solusi EDR yang dapat mendeteksi dan merespons aktivitas mencurigakan di tingkat titik akhir, termasuk eksekusi malware tanpa file.
Karena ancaman siber terus berkembang, tetaplah waspada dan mendapatkan informasi yang akurat. Organisasi harus memprioritaskan keamanan siber untuk melindungi aset mereka dan menjaga integritas operasional dalam menghadapi musuh yang canggih seperti UNC5174.
