Sebuah kampanye siber senyap yang telah berlangsung selama bertahun-tahun akhirnya terungkap ke permukaan. Organisasi-organisasi bernilai tinggi di Asia Selatan, Asia Tenggara, dan Asia Timur—mencakup sektor penerbangan, energi, pemerintahan, penegak hukum, farmasi, hingga telekomunikasi—telah menjadi target empuk operasi spionase siber berskala besar.

Unit 42 dari Palo Alto Networks mengatribusikan kampanye ini kepada kelompok ancaman asal Tiongkok yang belum pernah didokumentasikan sebelumnya, berjuluk CL-UNK-1068 (Cluster-Unknown Motivation). Meskipun motivasi awalnya dilabeli "tidak diketahui", analisis mendalam menyimpulkan dengan tingkat keyakinan menengah-hingga-tinggi (moderate-to-high confidence) bahwa tujuan utama kelompok ini adalah Spionase Siber.

Strategi utama CL-UNK-1068 bukanlah merancang malware super canggih bernilai jutaan dolar dari nol. Mereka justru sangat pragmatis, memanfaatkan utilitas open-source yang dimodifikasi, malware komunitas, dan binari bawaan sistem operasi (Living-off-the-Land Binaries / LOLBINs).

Baca Juga: Ancaman "Vibeware": APT36 Gunakan AI untuk Banjiri Target dengan Malware Berbahasa Eksotis dan C2 via Slack

Rantai serangan mereka umumnya dimulai dengan mengeksploitasi kerentanan pada peladen web (web servers) Windows maupun Linux. Setelah masuk, mereka menanamkan web shell populer di kalangan peretas Tiongkok seperti Godzilla dan ANTSWORD, atau backdoor Linux lawas bernama Xnote. Dari titik pangkalan ini, mereka bergerak secara lateral untuk mencari file konfigurasi (web.config, .aspx, .dll) di direktori peladen web guna mencuri kredensial basis data atau memetakan kerentanan lebih lanjut.

Salah satu taktik paling brilian dan licin dari CL-UNK-1068 adalah cara mereka mencuri (mengeksfiltrasi) data. Alih-alih mentransfer file keluar jaringan—yang biasanya akan memicu alarm pada sistem Data Loss Prevention (DLP)—peretas menggunakan teknik berbasis teks:

1. Mereka mengompresi data curian (seperti cadangan database MS-SQL, history peramban, dan file Excel) menggunakan WinRAR.
2. Mereka mengubah arsip tersebut menjadi teks menggunakan perintah bawaan Windows: certutil -encode.
3. Alih-alih mengunduh file tersebut, mereka menggunakan perintah type untuk mencetak teks Base64 tersebut langsung ke layar web shell mereka.

Dengan metode ini, penyerang dapat menyalin data keluar jaringan seolah-olah mereka hanya sedang membaca outputteks biasa di layar terminal, melewati filter keamanan transfer file tradisional.

Gudang Senjata Pencuri Kredensial dan Side-Loading

Untuk mempertahankan akses (persistence) dan memperluas kendali, kelompok ini mengeksekusi DLL Side-Loadingdengan "menumpang" pada program Python yang sah (python.exe). Mereka juga mengerahkan persenjataan lengkap untuk mencuri kata sandi:

• Mimikatz: Menguras kata sandi dari memori Windows.
• LsaRecorder: Menangkap kata sandi saat pengguna login ke sistem (melalui hooking LsaApLogonUserEx2).
• DumpItForLinux & Volatility: Mengekstrak hash kata sandi dari memori peladen Linux.
• Alat Ekspor SQL: Membongkar file sqlstudio.bin untuk mencuri koneksi pangkalan data Microsoft SQL.

Eksistensi CL-UNK-1068 adalah manifestasi sempurna dari tren "Commoditization of Cyber Espionage" (Komoditisasi Spionase Siber). Dengan menggunakan alat open-source dan LOLBINs, kelompok ini berhasil mencapai dua hal sekaligus: menekan biaya operasi dan mempersulit atribusi (karena alat tersebut dipakai oleh banyak kelompok peretas lain).

Visibilitas endpoint tingkat lanjut adalah kunci mutlak. Antivirus konvensional tidak akan menandai perintah certutil.exe atau python.exe sebagai virus karena itu adalah alat resmi Windows/Developer.

Untuk membendung taktik Living-off-the-Land semacam ini, kami sangat merekomendasikan:

1. Pemantauan Perilaku EDR (Endpoint Detection and Response): Konfigurasikan EDR Anda untuk memicu peringatan kritis jika utilitas sistem seperti certutil.exe digunakan dengan argumen -encode atau -decode, terutama jika proses induknya (parent process) adalah layanan peladen web (seperti IIS atau Apache).
2. Perkeras Direktori Web (Directory Hardening): Proses peladen web (w3wp.exe) tidak boleh memiliki hak akses (permissions) untuk menjalankan command prompt (cmd.exe), PowerShell, atau mengeksekusi file Python di luar direktori yang sangat spesifik.
3. Terapkan Web Application Firewall (WAF) Dinamis: Gunakan WAF yang mampu mendeteksi tanda tangan lalu lintas jaringan (network signatures) dari web shell populer seperti Godzilla dan ANTSWORD. Akses administratif ke peladen SQL juga harus disegmentasi secara ketat dan tidak boleh terekspos ke jaringan peladen web front-end secara langsung tanpa perantara lapisan keamanan.