Sembunyikan Malware di Discord & OneDrive

Sembunyikan Malware di Discord & OneDrive – Kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT) yang selaras dengan kepentingan Tiongkok. APT yang bernama Webworm dilaporkan telah memperluas jangkauan operasi dan memperbarui persenjataan siber mereka.

Berdasarkan temuan terbaru, kelompok ini mulai mengerahkan pintu belakang (backdoor) kustom baru yang menyalahgunakan platform populer seperti Discord dan Microsoft Graph API sebagai infrastruktur perintah dan kontrol (C2).

Webworm, yang memiliki irisan taktik dengan kelompok peretas lain seperti FishMonger (Aquatic Panda), SixLittleMonkeys, dan Space Pirates, dikenal secara historis mengincar instansi pemerintah dan perusahaan di sektor layanan TI, kedirgantaraan, serta tenaga listrik.

Jika sebelumnya mereka berfokus pada wilayah Asia dan Rusia, aktivitas terbaru menunjukkan adanya perluasan target yang kini mencakup organisasi pemerintahan di Eropa, seperti di Belgia, Italia, Serbia, Polandia, dan Spanyol.

Trojan Klasik ke Proksi Senyap

Selama beberapa tahun terakhir, Webworm menunjukkan perubahan strategi yang signifikan dalam menyembunyikan jejak mereka.

Mereka mulai meninggalkan trojan akses jarak jauh (Remote Access Trojan/RAT) tradisional seperti Trochilus RAT dan 9002 RA.

Dan beralih ke alat proksi kustom maupun utilitas semi-legal yang jauh lebih sulit dideteksi oleh sistem keamanan standar.

Dua backdoor kustom terbaru yang diidentifikasi dalam operasi mereka meliputi:

EchoCreep (Memanfaatkan Discord C2): Pintu belakang ini menggunakan platform komunikasi Discord sebagai saluran untuk menerima instruksi dari penyerang. EchoCreep mendukung kemampuan eksekusi perintah melalui cmd.exe serta pengunggahan dan pengunduhan file secara ilegal. Rekaman aktivitas pada saluran Discord yang disalahgunakan menunjukkan bahwa perintah C2 telah dikirimkan secara aktif sejak Maret 2024.
GraphWorm (Memanfaatkan Microsoft Graph API): Ini merupakan varian backdoor yang lebih canggih. GraphWorm menyalahgunakan Microsoft Graph API untuk menyamarkan lalu lintas komunikasinya sebagai aktivitas awan yang sah. Pustaka berbahaya ini mampu memicu sesi cmd.exe baru, menjalankan proses eksekusi, serta mengunduh atau mengunggah data sensitif korban secara langsung ke akun Microsoft OneDrive yang dikendalikan peretas.

Selain kedua pintu belakang tersebut, Webworm memanfaatkan repositori GitHub palsu yang menyamar sebagai cabang pengembangan WordPress (github[.]com/anjsdgasdf/WordPress) untuk menyimpan alat-alat penyerangan mereka, termasuk SoftEther VPN.

Kelompok ini juga menggunakan rangkaian alat proksi kustom seperti WormFrp, ChainWorm, SmuxProxy, dan WormSocket yang mampu mengenkripsi komunikasi dan menghubungkan beberapa host internal secara berantai untuk mengelabui deteksi jaringan.

Metode Penetrasi dan Pemindaian Celah

Meskipun jalur akses awal yang digunakan untuk mengirimkan backdoor EchoCreep dan GraphWorm belum diketahui secara pasti.

Para peneliti menemukan bahwa Webworm secara aktif menggunakan alat pencari berbasis sumber terbuka seperti dirsearch dan nuclei.

Alat-alat tersebut dikerahkan untuk melakukan serangan pembobolan paksa (brute-force) terhadap direktori server web korban serta memindai keberadaan kerentanan keamanan yang belum ditambal di dalam sistem target sebelum melakukan infiltrasi.

Keterkaitan dengan Ekosistem Malware As-A-Service

Di saat yang bersamaan, laporan intelijen ancaman siber mengindikasikan adanya perluasan ekosistem penyewaan malware di kalangan peretas berbahasa Mandarin melalui varian BadIIS. Malware ini diyakini dijual atau dibagikan di bawah model bisnis Malware-as-a-Service (MaaS) untuk monetisasi berkelanjutan.

Layanan MaaS ini menyediakan alat pembangun khusus (builder tool) yang memungkinkan aktor ancaman menghasilkan file konfigurasi kustom untuk menyuntikkan parameter ke dalam biner BadIIS.

Kemampuan yang ditawarkan meliputi pengalihan lalu lintas jaringan ke situs ilegal, manipulasi perayap mesin pencari (search engine crawler), pembajakan konten, serta injeksi tautan balik (backlink) untuk aksi penipuan optimasi mesin pencari (SEO Fraud).

Baca juga: Taktik 48 Menit Melawan Hacker

Langkah Mitigasi bagi Organisasi

Menghadapi taktik Webworm yang semakin lihai membaurkan lalu lintas serangannya dengan layanan awan resmi, berikut adalah langkah mitigasi yang direkomendasikan oleh para peneliti:

Awasi Penggunaan API Awan: Lakukan audit ketat terhadap aktivitas koneksi keluar yang mengarah ke Microsoft Graph API dan layanan Microsoft OneDrive. Pastikan tidak ada token aplikasi mencurigakan yang memiliki izin membaca dan menulis file tanpa otorisasi yang jelas.
Batasi Lalu Lintas Platform Sosial: Blokir atau pantau secara ketat lalu lintas jaringan dari lingkungan server internal yang mengarah ke domain webhook atau API Discord, karena platform chat ini tidak seharusnya diakses secara otomatis oleh infrastruktur kritis atau server web.
Tinjau Penggunaan Solusi VPN dan Proksi: Blokir penggunaan utilitas proksi pihak ketiga seperti SoftEther VPN, iox, atau alat pemetaan port lainnya di dalam jaringan perusahaan jika alat tersebut tidak terdaftar sebagai aset perangkat lunak resmi organisasi.
Perkuat Pertahanan Server Web: Karena penyerang menggunakan pemindai otomatis seperti nuclei, pastikan sistem Web Application Firewall (WAF) Anda dikonfigurasi untuk memblokir aktivitas pemindaian direktori massal dan secara berkala lakukan penambalan pada kerentanan server web.

Tantangan Deteksi di Era Penyamaran Digital

Aktivitas Webworm menjadi bukti nyata bagaimana para aktor ancaman tingkat negara terus beradaptasi dengan memanfaatkan infrastruktur legal seperti Microsoft dan Discord untuk melewati pertahanan siber konvensional.

Di pertengahan tahun 2026 ini, tim pertahanan tidak bisa lagi hanya mengandalkan daftar hitam IP atau domain mencurigakan.

Pemantauan mendalam terhadap anomali perilaku aplikasi di dalam jaringan, pembatasan hak akses API, dan penggunaan sistem pemindaian proaktif yang mampu membedakan aktivitas bisnis sah dengan eksploitasi tersembunyi adalah kunci utama untuk menjaga kedaulatan data organisasi dari pengintaian digital.

Baca artikel lainnya: