Kelompok peretas asal Tiongkok, FamousSparrow, dilaporkan terlibat dalam serangan siber terhadap sebuah organisasi dagang di Amerika Serikat dan sebuah institut riset di Meksiko, demikian menurut laporan terbaru dari perusahaan keamanan siber ESET.

Dalam aktivitas yang terdeteksi pada Juli 2024, FamousSparrow tidak hanya menyebarkan SparrowDoor, malware andalan mereka, namun juga untuk pertama kalinya menggunakan ShadowPad, malware yang dikenal luas sebagai alat spionase siber buatan aktor negara Tiongkok.

Menurut laporan ESET yang dibagikan kepada The Hacker News, dua varian baru dari SparrowDoor ditemukan, salah satunya memiliki arsitektur modular. Keduanya dianggap sebagai peningkatan signifikan dari versi sebelumnya dengan dukungan eksekusi perintah paralel.

"Kedua versi menunjukkan kemajuan besar, memungkinkan eksekusi simultan dari perintah kompleks seperti pengoperasian file dan shell interaktif," ujar Alexandre Côté Cyr, peneliti dari ESET.

Salah satu versi baru disebut-sebut menyerupai malware Crowdoor, namun dengan sejumlah penyempurnaan. Fitur utama termasuk kemampuan membentuk koneksi baru dengan server perintah (C2) untuk setiap perintah yang diterima, lengkap dengan ID korban dan ID perintah, mempermudah pelacakan aktivitas oleh pelaku.

Versi modular SparrowDoor mengandalkan arsitektur plugin dan mendukung sembilan modul berbeda, di antaranya:

• Cmd: Menjalankan perintah tunggal
• CFile: Operasi sistem file
• CKeylogPlug: Pencatatan penekanan tombol
• CSocket: Menjalankan proxy TCP
• CShell: Shell interaktif
• CTransf: Transfer file antara host dan server C2
• CRdp: Mengambil tangkapan layar
• CPro: Menampilkan dan mematikan proses
• CFileMoniter: Memantau perubahan direktori tertentu

ESET mencatat bahwa jalur infeksi dimulai dari penempatan web shell pada server Internet Information Services (IIS). Meski metode awal belum diketahui secara pasti, korban dilaporkan menggunakan versi usang Windows Server dan Microsoft Exchange Server—dua platform yang dikenal rawan jika tidak diperbarui.

Baca Juga: Laporan OX Security 2025: 95% Notifikasi Keamanan Aplikasi Tidak Perlu Ditindaklanjuti

Web shell tersebut digunakan untuk mengeksekusi skrip batch dari server jarak jauh yang memuat payload berupa web shell .NET yang telah dikodekan dalam Base64. Dari sinilah ShadowPad dan SparrowDoor dipasang dan diaktifkan.

Sejak terungkap pada 2021, FamousSparrow telah dikaitkan dengan serangkaian serangan terhadap hotel, pemerintahan, firma hukum, dan perusahaan teknik. Walau terdapat kemiripan taktis dengan grup seperti Earth Estries, GhostEmperor, dan Salt Typhoon, ESET menegaskan bahwa mereka memperlakukan FamousSparrow sebagai entitas terpisah dengan hubungan yang longgar.

Penggunaan ShadowPad oleh FamousSparrow menjadi sinyal kuat bahwa kelompok ini tidak hanya masih aktif, tetapi juga terus mengembangkan arsenal digital mereka. Penyebaran dua versi baru SparrowDoor menandai fase baru dari operasi mereka yang makin kompleks, modular, dan sulit dideteksi.

“Aktivitas terbaru ini menunjukkan bahwa grup ini masih aktif dan aktif mengembangkan versi terbaru dari SparrowDoor selama periode tersebut,” tutup laporan ESET.