Kelompok peretas negara Korea Utara yang dikenal sebagai APT37 atau Reaper kembali menjadi sorotan setelah terungkap meluncurkan gelombang serangan siber canggih yang menyusup melalui file gambar JPEG berisi malware tersembunyi. Teknik ini menandai evolusi berbahaya dalam strategi serangan fileless dan upaya menghindari deteksi sistem keamanan tradisional.

Peneliti dari Genians Security Center (GSC) mengidentifikasi varian terbaru dari malware RoKRAT yang selama ini digunakan APT37. Dalam kampanye kali ini, malware disembunyikan di dalam gambar menggunakan teknik steganografi, membuatnya nyaris tak terdeteksi oleh antivirus atau solusi keamanan konvensional.

RoKRAT versi terbaru ini dikemas dalam arsip terkompresi (misalnya “National Intelligence and Counterintelligence Manuscript.zip”) yang berisi:

• File Windows shortcut (.lnk) berukuran besar,
• Dokumen umpan palsu,
• Script tersembunyi dan shellcode,
• Perintah PowerShell untuk menjalankan payload secara bertahap.

Setelah dibuka, file shortcut memicu serangkaian proses tersembunyi, termasuk menjalankan skrip batch dan PowerShell yang mendekripsi payload terenkripsi dengan metode XOR. Payload berbahaya ini kemudian disuntikkan ke dalam proses Windows terpercaya seperti mspaint.exe atau notepad.exe, menjadikan aktivitas berbahaya tampak sah.

Baca Juga: Grup Ransomware INC Klaim Bobol Data Dollar Tree, 1,2 TB Dokumen Sensitif Terancam Bocor

Salah satu inovasi paling berbahaya dalam kampanye ini adalah penggunaan file gambar JPEG sebagai pembawa malware. Misalnya, file berjudul “Father.jpg” terlihat seperti gambar biasa, namun setelah dianalisis lebih dalam, terbukti memuat shellcode terenkripsi di dalamnya.

Langkah selanjutnya:

1. Malware mengekstrak data tersembunyi dari file gambar,
2. Melakukan proses decoding dengan XOR,
3. Menjalankan modul RoKRAT tanpa menyimpan file ke disk (fileless),
4. Menghindari deteksi berbasis tanda tangan (signature-based) maupun sistem berbasis file.

Lebih lanjut, APT37 menggunakan penyimpanan cloud publik seperti Dropbox dan Yandex untuk mendistribusikan file gambar berbahaya serta berkomunikasi dengan server kontrol (C2). Dengan menyalahgunakan API resmi cloud dan menggunakan akun dengan token asli, lalu lintas jaringan menjadi sangat sulit dibedakan dari aktivitas sah.

Modul RoKRAT yang berhasil dijalankan akan mencuri data sensitif seperti:

• Dokumen,
• Tangkapan layar,
• Data sesi pengguna.

Kampanye ini menunjukkan kemampuan adaptif APT37 dalam:

• Mengganti target injeksi dari mspaint.exe ke notepad.exe,
• Menyembunyikan jejak pengembang melalui penghapusan path PDB dan nama toolchain seperti “InjectShellcode” atau “Weapon”,
• Menggunakan akun email Yandex dan profil media sosial anonim untuk menghindari pelacakan.

GSC menekankan bahwa serangan ini terutama menyasar wilayah Korea Selatan, namun mengingat skalanya, berpotensi meluas ke kawasan lain.

Untuk menghadapi serangan canggih semacam ini, para ahli menyarankan:

• Implementasi EDR (Endpoint Detection and Response) berbasis perilaku,
• Pelatihan kesadaran keamanan bagi pengguna,
• Pemantauan lalu lintas cloud secara proaktif,
• Kebijakan pembatasan eksekusi file shortcut (.lnk) dan skrip di lingkungan kerja.

APT37 dikenal sebagai aktor siber yang disponsori negara dengan agenda politik, dan kampanye ini menunjukkan bahwa mereka terus berinovasi secara teknis dan taktis.