Para pelaku ancaman siber yang beroperasi di bawah kendali rezim Korea Utara kembali menunjukkan kecanggihan teknis mereka dengan memperkenalkan perangkat malware canggih. Malware baru ini dirancang untuk membangun akses backdoor yang persisten dan kontrol jarak jauh (remote control) pada sistem yang dikompromikan.

Temuan terbaru mengungkapkan bahwa kelompok Kimsuky, yang terkenal dengan kampanye spionase, telah mengerahkan HttpTroy, sementara grup Lazarus APT memperkenalkan varian yang ditingkatkan dari BLINDINGCAN. Perkembangan ini menggarisbawahi evolusi berkelanjutan dari operasi siber yang disponsori negara, menargetkan organisasi di berbagai negara.

Kampanye serangan ini menunjukkan pendekatan yang terencana, dimulai dengan mekanisme pengiriman yang menipu (deceptive delivery) dan berlanjut melalui beberapa tahap infeksi. Setiap komponen dalam rantai malware ini memiliki tujuan berbeda, mulai dari kompromi sistem awal hingga membangun komunikasi command-and-control (C2) yang tersembunyi (stealthy).

Infrastruktur yang mendukung operasi ini menggunakan teknik obfuscation yang canggih dan protokol enkripsi berlapis. Hal ini menunjukkan pemahaman komprehensif kelompok-kelompok tersebut terhadap pertahanan modern dan sistem deteksi.

Baca Juga: Awas! Aplikasi Palsu ChatGPT Ancam Data Pribadi, Menyebar Lewat Toko Aplikasi Pihak Ketiga

Analisis oleh Gendigital mengidentifikasi bahwa serangan Kimsuky menargetkan satu korban di Korea Selatan. Serangan ini dimulai melalui arsip ZIP yang menyamar sebagai faktur VPN dari perusahaan keamanan Korea yang sah. Tipuan ini efektif, mendorong korban mengeksekusi berkas screensaver berbahaya di dalamnya. Kimsuky juga memanfaatkan social engineering berbasis bahasa Korea dan konvensi penamaan scheduled task yang menyerupai software antivirus lokal untuk menciptakan aktivitas sistem yang tampak masuk akal.

Sebaliknya, operasi Lazarus menargetkan dua entitas di Kanada. Lazarus menggunakan teknik yang lebih baru untuk menyembunyikan pengiriman payload dan membangun mekanisme persistensi berbasis layanan, yang mampu menghindari pendekatan deteksi endpoint tradisional. Lazarus juga menerapkan enumerasi layanan yang lebih kompleks dan manipulasi registry dinamis, mengindikasikan penargetan infrastruktur enterprise di mana layanan sistem yang sah memberikan kamuflase yang efektif bagi operasi jahat.

Kampanye Kimsuky menggunakan rantai infeksi tiga tahap. Tahap awal adalah dropper berbasis GO yang berisi tiga berkas terenkripsi menggunakan operasi XOR.

1. Tahap Pertama: Setelah dieksekusi, dropper menampilkan faktur PDF yang menipu sambil secara bersamaan membangun infrastruktur backdoor melalui pendaftaran COM server via regsvr32.exe.
2. Tahap Kedua (Memload_V3): Komponen ini membuat scheduled tasks yang meniru pembaruan antivirus AhnLab, berulang setiap menit untuk mempertahankan persistensi.
3. Tahap Akhir (HttpTroy): Payload ini memberikan kontrol komprehensif kepada penyerang, termasuk manipulasi berkas, pengambilan screenshot, eksekusi perintah dengan hak akses tinggi, dan penyebaran reverse shell.

Backdoor HttpTroy berkomunikasi secara eksklusif melalui permintaan HTTP POST, menerapkan dua lapis obfuscation: enkripsi XOR diikuti oleh Base64 encoding. Arsitektur malware ini juga menggabungkan dynamic API hashing dan rekonstruksi string saat runtime, yang secara efektif mencegah analisis statis dan mempersulit mekanisme deteksi.