Backdoor Webworm Menyusup di Microsoft Cloud

Backdoor Webworm Menyusup di Microsoft Cloud – Dunia keamanan digital kembali dikejutkan oleh temuan terbaru dari para peneliti mengenai pergerakan kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT) bernama Webworm.

Kelompok yang diketahui memiliki keselarasan kepentingan dengan negara Tiongkok ini awalnya dikenal sering membidik instansi pemerintah dan perusahaan infrastruktur penting di kawasan Asia.

Namun, laporan pemantauan terbaru menunjukkan adanya pergeseran strategi yang sangat drastis, Webworm kini meluaskan radar operasinya ke benua Eropa.

Berdasarkan analisis mendalam yang dirilis oleh ESET, peretas kawakan ini terus memperbarui TTP (Tactics, Techniques, and Procedures) mereka agar tidak terdeteksi oleh sistem keamanan standar perusahaan.

Jika dahulu mereka sangat bergantung pada virus trojan klasik, kini mereka memanfaatkan platform digital tepercaya yang kita gunakan sehari-hari seperti aplikasi obrolan Discord dan jaringan awan Microsoft Graph API (OneDrive sebagai kedok untuk mengendalikan komputer korban dari jarak jauh.

Menyamar di Balik Jaringan Legal

Sejak pertama kali didokumentasikan pada tahun 2022, Webworm yang memiliki keterkaitan erat dengan kelompok peretas lain seperti SixLittleMonkeys dan FishMonger, terus berevolusi.

Pada awal kemunculannya, kelompok ini mengandalkan jenis malware Remote Access Trojan (RAT) tradisional seperti McRat dan Trochilus.

Namun, memasuki pertengahan dekade ini, para peneliti melihat fenomena unik di mana Webworm mulai meninggalkan taktik lama tersebut. Mereka beralih menggunakan alat proksi (proxy tools) kustom dan utilitas jaringan semi-legal seperti SoftEther VPN.

Alasan di balik pergeseran ini sangat sederhana: alat proksi jauh lebih senyap dan tidak memicu alarm kecurigaan pada antivirus konvensional.

Sebagai gantinya, karena alat proksi tidak memiliki instruksi bawaan yang lengkap seperti virus konvensional, operator peretas mengandalkan penerjemah perintah langsung pada sistem operasi korbannya, seperti cmd.exe atau powershell.exe.

Baca juga: Cara Peretas Menguras ATM Menggunakan Ponsel Anda

Dua Senjata Backdoor Baru

Puncak kecanggihan Webworm terlihat pada kampanye siber mereka yang memanfaatkan dua pintu belakang (backdoor) kustom teranyar:

1. EchoCreep (Eksploitasi Aplikasi Chat Discord)

Backdoor yang ditulis dengan bahasa pemrograman Go ini menggunakan jalur komunikasi resmi (API endpoints) milik platform Discord untuk mengirimkan laporan sistem, mengunduh file berbahaya, dan menerima instruksi peretasan.

Para peneliti dari ESET berhasil membongkar pertahanan enkripsi ini dan mengamankan lebih dari 400 pesan rahasia di dalam saluran Discord yang dikuasai peretas.

Di dalam saluran tersebut, peretas membuat ruang obrolan (channel) khusus yang dinamai sesuai dengan alamat IP atau nama komputer masing-masing korban, memberikan mereka kontrol mutlak secara terisolasi.

2. GraphWorm (Penyusupan Berbasis Microsoft Cloud)

Pintu belakang ini memiliki tingkat enkripsi yang lebih rumit menggunakan algoritma AES-256-CBC. Jauh lebih berbahaya dari EchoCreep, GraphWorm akan berjalan secara otomatis setiap kali korban menyalakan dan masuk ke komputer mereka.

Malware ini menyalahgunakan ekosistem Microsoft Graph API untuk berkomunikasi secara eksklusif dengan folder penyimpanan awan OneDrive. Peretas membuat folder rahasia di OneDrive awan yang dibagi menjadi tiga subfolder fungsional:

• /files untuk menyimpan dokumen yang akan dicuri.
• /result untuk menampung hasil eksekusi perintah peretas.
• /job untuk mengantre instruksi peretasan selanjutnya.

Karena lalu lintas komunikasinya mengarah ke domain resmi Microsoft yang tepercaya, aktivitas transfer data curian berukuran besar sering kali lolos dari pemeriksaan firewall internal perusahaan tanpa disadari.

Penjarahan Data Awan

Kelihaian Webworm tidak berhenti sampai di situ. Dalam investigasinya, para peneliti membongkar trik kelompok ini yang menyusup ke sebuah wadah penyimpanan awan publik Amazon S3 milik pihak ketiga yang salah konfigurasi atau bocor aksesnya ke publik.

Melalui wadah S3 curian tersebut, peretas menanam alat bernama WormFrp untuk menarik file konfigurasi terenkripsi dan membuka jalur proksi terbalik (reverse proxy).

Melalui celah ini, Webworm dengan leluasa memindahkan data rahasia hasil jarahan dari lembaga pemerintah di Italia dan Spanyol.

Tragisnya, pemilik asli wadah Amazon S3 tersebutlah yang harus membayar tagihan biaya lalu lintas data bulanan (bandwidth) tanpa menyadari sistemnya telah dijadikan sarang laba-laba siber.

Di dalam wadah penyimpanan yang bocor itu, ditemukan file konfigurasi aplikasi mRemoteNG yang berisi daftar host virtual sensitif milik pemerintah Spanyol.

Bagan diagram Microsoft Visio yang merinci arsitektur jaringan domain internal mereka, hingga perkakas berbahaya bernama SharpSecretsdump yang digunakan untuk menguras kata sandi dari komputer berbasis Windows.

Baca juga: Ribuan Bug Mengintai di Perangkat Serial-to-IP

Membangun Jaringan Gelap Berlapis

Guna mengelabui pelacakan digital forensik, Webworm merajut jaringan proksi berlapis yang rumit di sekeliling korbannya menggunakan rentetan alat buatan sendiri:

• ChainWorm: Alat yang membuka port tertentu pada komputer korban untuk menghubungkan koneksi dari satu komputer ke komputer lainnya secara berantai (chaining) dalam jumlah lompatan (hops) yang tidak terbatas, sehingga menyamarkan lokasi asli si peretas.
• SmuxProxy: Utilitas praktis berbasis alat iox yang sudah dimodifikasi agar langsung mengarah pada alamat IP server peretas secara otomatis.
• WormSocket: Alat canggih berbasis protokol socket.io untuk membuat jaringan proksi web yang sangat fleksibel dan dapat dikalibrasi kapan saja oleh operator.

Seluruh infrastruktur proksi dan VPN yang disewa oleh Webworm dilaporkan memanfaatkan server awan komersial yang dikendalikan di bawah jaringan penyedia infrastruktur Vultr dan IT7 Networks.

Berburu Celah Lewat Pemindai Otomatis

Meskipun jalur infiltrasi awalnya bervariasi, analisis berkas riwayat perintah (bash history) pada server yang ditinggalkan peretas memperlihatkan bahwa Webworm sangat mengandalkan dua perkakas pemindai sumber terbuka, yaitu dirsearch dan nuclei.

Peretas mengerahkan dirsearch untuk melakukan pencarian paksa (brute-force) terhadap direktori dan file rahasia pada server web target tercatat telah memindai 56 target unik di berbagai negara seperti Spanyol, Hongaria, Belgia, Nigeria, Ceko, dan Serbia.

Sementara melalui alat nuclei, peretas memanfaatkan skrip eksploitasi celah keamanan lama (CVE-2017-7692) yang menyerang aplikasi webmail SquirrelMail di Serbia.

Hal ini mengindikasikan kuat bahwa kelompok ini berhasil mencuri kredensial masuk pengguna melalui kerentanan sistem yang belum ditambal sebagai pintu masuk utama serangan.

Baca juga: Memburu Identitas Hantu di Jaringan Perusahaan

Langkah Mitigasi bagi Masyarakat & Organisasi

Mengingat taktik Webworm yang sangat rapi dalam memanfaatkan aplikasi sehari-hari yang kita percayai, berikut adalah panduan mitigasi teknis dan praktis yang direkomendasikan untuk memutus rantai serangan:

1. Batasi Lalu Lintas Platform Sosial di Server Kerja: Jika Anda mengelola jaringan perusahaan, batasi atau blokir akses keluar yang menuju ke domain API Discord (discordapp.com) dari komputer server penting. Tidak ada alasan operasional bagi sebuah server basis data perusahaan untuk berkomunikasi dengan aplikasi chat.
2. Audit Ketat Izin Akses Microsoft 365: Lakukan peninjauan berkala terhadap aplikasi pihak ketiga yang memiliki integrasi ke Microsoft Graph API atau OneDrive perusahaan Anda. Pastikan untuk mewajibkan persetujuan administrator (admin approval) sebelum memberikan izin akses data awan.
3. Tutup Celah Penggunaan Proksi Tidak Sah: Terapkan kebijakan pembatasan perangkat lunak (software restriction policies) untuk melarang eksekusi aplikasi VPN portabel atau alat pemetaan jaringan seperti SoftEther VPN, iox, atau frp pada komputer karyawan.
4. Pantau Anomali Aktivitas Command Prompt: Awasi jika ada proses latar belakang dari aplikasi biasa yang tiba-tiba memicu jalannya cmd.exe atau powershell.exe dengan argumen yang tidak biasa (seperti perintah unduhan otomatis menggunakan curl).
5. Gunakan Proteksi dari ESET: Karena analisis komprehensif ini dirilis langsung berdasarkan investigasi mereka, solusi keamanan dari ESET memiliki pemahaman paling mendalam terhadap karakteristik serangan Webworm. Teknologi ESET dilengkapi dengan fitur Exploit Blocker dan pemindaian memori tingkat lanjut (Advanced Memory Scanner) yang mampu mengenali eksekusi berbahaya dari backdoor EchoCreep dan GraphWorm secara waktu-nyata, sekaligus mencegah peretas menyalahgunakan token akses OneDrive Anda sebelum data sempat dijarah keluar.

Konklusi

Aktivitas kelompok peretas Webworm menjadi pengingat berharga bagi industri teknologi di tahun 2026, ancaman siber terbesar tidak lagi selalu datang dalam bentuk kode virus yang rumit.

Melainkan dari penyalahgunaan fitur-fitur legal dan layanan awan tepercaya yang kita gunakan setiap hari. Kewaspadaan digital, pembatasan hak akses API.

Serta penggunaan sistem proteksi proaktif yang andal adalah kunci utama agar infrastruktur digital organisasi Anda tidak berubah menjadi jalan pintas bagi mata-mata siber internasional.

 

 

Baca artikel lainnya: 

• Botnet Mirai Incar Ruter TP-Link Lawas
• Cara Membedakan Peringatan Data Breach Asli vs Palsu
• Panduan 12 Bulan Memperkuat Rantai Pasok
• Muslihat Kuda Kayu di Era Digital
• Celah Teknis Pengelolaan Data Industri Sensitif
• Melindungi Data Sensitif di Awan Publik
• Mengapa Zero Trust Standar Resiliensi Siber 2026
• Infiltrasi Storm Data Indonesia Jadi Incaran
• Titik Buta Ketika EDR Menjadi Target
• Memenangkan Balapan Melawan AI Siber

 

 

Sumber berita:

 

Prosperita IT News