KELOMPOK PERETAS CHINA MELANCARKAN SERANGAN TERHADAP 17 NEGARA DI DUNIA DALAM WAKTU 3 TAHUN

Perusahaan cybersecurity Recorded Future melaporkan bahwa kelompok peretas yang terafiliasi dengan Kementerian Keamanan Negara (Ministry of State Security – MSS) China diduga kuat berada dibalik serangan siber di 17 negara berbeda yang berada di Asia, Eropa, dan Amerika Utara sejak tahun 2021 hingga 2023. Teknik intrusi diduga terkait dengan kelompok nation-state RedHotel yang sebelumnya dinamakan Threat Activity Group-22 atau TAG-22. Teknik ini juga tumpang tindih dengan sekelompok aktivitas yang dipantau secara luas seperti Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca, dan Red Scylla (atau Red Dev 10).

Kelompok yang aktif sejak tahun 2019 tersebut menargetkan beberapa sektor terkemuka dalam serangan mereka yang meliputi akademisi, kedirgantaraan, pemerintah, media, telekomunikasi, dan penelitian. Namun mayoritas sektor yanfg paling banyak menjadi korban serangan adalah pemerintahan. Tujuan utama yang dimiliki kelompok RedHotel dalam serangan tersebut adalah pengumpulan intelijen dan spionase ekonomi.

Awal Januari 2022, Trend Micro menggambarkan musuh sebagai “aktor ancaman yang sangat terampil dan berbahaya yang terutama dimotivasi oleh spionase dunia maya dan keuntungan finansial.” Sejak itu RedHotel selalu dikaitkan dengan aktivitas eksploitasi kelemahan Log4Shell serta serangan menargetkan sektor telekomunikasi, akademisi, penelitian dan pengembangan, dan organisasi pemerintah di Nepal, Filipina, Taiwan, dan Hong Kong untuk menggunakan backdoor untuk akses jangka panjang.

Rantai serangan yang digunakan oleh RedHotel telah menggunakan aplikasi yang banyak digunakan publik sebagai pijakan awal, namun telah dipersenjatai oleh kelompok tersebut. Aksi ini kemudian diikuti dengan penggunaan kombinasi alat keamanan ofensif seperti Cobalt Strike dan Brute Ratel C4 (BRc4) dan keluarga malware yang dipesan lebih dahulu seperti FunnySwitch, ShadowPad, Spyder, dan Winnti.

Aspek penting dari modus yang digunakan RedHotel adalah penggunaan infrastruktur multi-tier masing-masing yang berfokus pada pengintaian awal dan akses jaringan jangka panjang melalui penggunaan server command and control. Sedangkan sebagian besar domain yang digunakan, didaftarkan menggunakan NameCheap. Dalam sebuah serangan yang dilakukan akhir 2022 lalu, RedHotel diketahui memanfaatkan sertifikat yang ditandatangani menggunakan kode curian dari sebuah perusahaan game Taiwan.

Menurut Recorded Future, RedHotel merupakan contoh salah satu kelompok peretas yang disponsori negara RRT dengan ruang lingkup dan skala kegiatan spionase yang sangat luas, dengan mempertahankan tempo operasional yang tinggi dan menargetkan organisasi sektor publik dan swasta secara global. Pernyataan Recorded Future tersebut sejalan dengan laporan yang disampaikan Washington Post bahwa peretas China memiliki “akses yang dalam dan terus-menerus” ke jaringan pertahanan rahasia di Jepang, sehingga mendorong Badan Keamanan Nasional Amerika Serikat (NSA) sebagai lembaga yang menemukan pelanggaran tersebut, untuk melaporkannya kepada pejabat pemerintah.

Link: The Hacker News