Credit image: Freepix
Kelompok spionase siber yang terkait dengan Tiongkok yang menggunakan malware khusus telah berhasil secara signifikan menginfeksi organisasi pemerintah dan industri sektor swasta penting di sebagian besar Asia Tenggara pada akhir tahun 2024 dan awal tahun 2025.
Kelompok tersebut telah menargetkan sektor pemerintah, manufaktur, telekomunikasi, dan media di beberapa negara dan kawasan Asia Tenggara, termasuk Filipina, Hong Kong, Taiwan, dan Vietnam.
Kelompok tersebut telah menggunakan biner yang sah tetapi sudah ketinggalan zaman dari perusahaan keamanan untuk memuat komponen perangkat lunak berbahaya ke sistem yang ditargetkan untuk membahayakannya, menurut analisis ancaman Symantec.
Meskipun kelompok tersebut telah memperluas fokusnya di luar organisasi pemerintah dan militer untuk mencakup industri swasta, mereka hampir secara eksklusif berfokus di kawasan Asia Tenggara.
Mereka sangat fokus pada Asia Tenggara, dan jarang melihat mereka bergerak lebih jauh. Dari apa yang dapat terlihat, mereka tampaknya tidak menargetkan negara mana pun lebih dari yang lain, meskipun negara-negara yang lebih besar dan lebih kaya di kawasan tersebut cenderung menarik lebih banyak perhatian secara proporsional.
|
Baca juga: Tiongkok Serang Perusahaan-Perusahaan di Asia Tenggara |
Infrastruktur Billbug
Infrastruktur jaringan yang digunakan oleh Billbug pada tahun 2015, yang menunjukkan serangkaian target yang sama seperti saat ini.
Meskipun semua serangan Lotus Blossom tampaknya merupakan hasil kerja satu kelompok, infrastruktur yang digunakan untuk menargetkan setiap negara sebagian besar terpisah.
Menambahkan bahwa domain dan alamat IP dalam berkas konfigurasi hanya tumpang tindih di beberapa tempat. Tautan ini membuat peta visual serangan, yang menunjukkan bahwa, meskipun infrastrukturnya tidak identik dalam setiap serangan, semuanya saling terhubung.
|
Baca juga: CeranaKeeper Incar Asia Tenggara |
Platform Malware yang Berkembang
Billbug juga mencampur varian backdoor-nya yang digunakan untuk menjalankan perintah dan mendapatkan persistensi pada sistem yang disusupi.
Backdoor Sagerunex telah digunakan oleh kelompok tersebut setidaknya sejak 2016, tetapi Billbug telah menciptakan banyak varian alat tersebut.
Dalam analisis ancaman kelompok tersebut pada bulan Februari, ditmukan beberapa versi Sagerunex yang menggunakan layanan daring Dropbox, X, dan Zimbra sebagai saluran perintah dan kendali untuk komunikasi.
Backdoor Sagerunex menggunakan berbagai strategi koneksi jaringan untuk memastikannya tetap berada di bawah kendali pelaku. Meskipun mengembangkan tiga varian yang berbeda, struktur dasar dan fungsi inti pintu belakang tetap konsisten.
Billbug juga telah menggunakan alat baru untuk mencuri kredensial dan kuki dari peramban Web Chrome yang populer, serta program pintu belakang yang akan membuka koneksi Secure Shell (SSH) pada sistem yang disusupi.
|
Baca juga: Asia Tenggara Lahan Basah Ransomware |
Geng yang Sama dengan Nama Lain
Kelompok Billbug sering menargetkan Filipina, karena Tiongkok dan negara kepulauan itu bersengketa dalam wilayah di Laut Cina Selatan.
Kelompok tersebut dilaporkan telah mengirim email spear-phishing kepada pakar militer di lapangan dengan dokumen yang konon sensitif sebagai umpan.
Sementara sumber lain menyebut kelompok itu sebagai Lotus Panda, tindakan militer dan siber gabungan seperti itu sudah menjadi hal yang umum. Bagi negara-negara maju, doktrin militer kini terkait erat dengan kemampuan siber, operasi penangkal siber.
Kelompok spionase siber lainnya telah melebarkan sayap ke kejahatan siber, dengan melakukan spionase selama jam kerja sambil melakukan kejahatan siber di luar jam kerja. Namun, Billbug tampaknya menjadi salah satu kelompok yang berpegang pada spionase murni.
Sumber berita:
