Sejak September 2023, aktor ancaman yang dikenal sebagai Evasive Panda telah mengatur serangan-serangan yang ditujukan kepada pengguna di Tibet. Tujuannya adalah mengirimkan pengunduh berbahaya untuk Windows dan macOS yang menyebarkan pintu belakang MgBot serta implan Windows yang sebelumnya tidak berdokumen yang dikenal sebagai Nightdoor.
Menurut temuan dari ESET yang dilaporkan oleh The Hacker News, para penyerang menyusup setidaknya tiga situs web untuk melakukan serangan watering-hole, serta menyusupi rantai pasokan sebuah perusahaan perangkat lunak di Tibet. Operasi ini baru diketahui pada Januari 2024.
Evasive Panda, yang aktif sejak 2012 dan juga dikenal sebagai Bronze Highland dan Daggerfly, sebelumnya telah diungkapkan oleh perusahaan keamanan siber Slovakia pada April 2023 karena menargetkan organisasi non-pemerintah internasional di China Daratan dengan MgBot.
Laporan dari Symantec milik Broadcom juga mengimplikasikan bahwa musuh tersebut melakukan kampanye spionase dunia maya dengan menyusup ke penyedia layanan telekomunikasi di Afrika sejak November 2022.
Baca Juga: Waspada! Ancaman phishing Melalui Situs Streaming Ilegal Semakin Meningkat
Serangkaian serangan cyber terbaru melibatkan kompromi web strategis dari situs web Kagyu International Monlam Trust. Para peneliti ESET mengatakan bahwa penyerang menempatkan skrip di situs web tersebut untuk memverifikasi alamat IP calon korban dan menampilkan halaman kesalahan palsu jika alamat tersebut berada dalam rentang alamat yang ditargetkan.
Para penyerang juga memanfaatkan Festival Kagyu Monlam tahunan di India pada Januari dan Februari 2024 untuk menyasar komunitas Tibet di beberapa negara dan wilayah.
Eksekusi berfungsi sebagai landasan peluncuran untuk memuat implan Nightdoor, yang kemudian menyalahgunakan API Google Drive untuk perintah dan kontrol. Selain itu, kampanye ini terkenal karena menyusup ke situs web perusahaan perangkat lunak India dan rantai pasokan untuk mendistribusikan penginstal perangkat lunak terjemahan bahasa Tibet yang telah di-trojanisasi untuk Windows dan MacOS pada September 2023.
Para penyerang juga menyalahgunakan situs web Tibetpost untuk menampung muatan yang diperoleh dari unduhan berbahaya, termasuk dua backdoor berfitur lengkap untuk Windows dan sejumlah muatan yang tidak diketahui untuk macOS.
ESET mencatat bahwa pintu belakang dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menelurkan shell terbalik, melakukan operasi file, dan menghapus instalan dirinya dari sistem yang terinfeksi.
Keseluruhan, serangan ini menunjukkan tanda-tanda serangan multi-tahap yang canggih dan menargetkan beberapa jaringan di Asia Timur.
