Kelompok peretas yang disponsori negara Rusia, APT28 (juga dikenal sebagai Fancy Bear, Sednit, BlueDelta, atau Unit 26165 GRU), kembali tertangkap tangan melakukan operasi spionase siber tingkat tinggi. Laporan terbaru dari firma keamanan siber ESET mengungkap bahwa kelompok ini telah mengerahkan sepasang implan mematikan bernama BEARDSHELL dan COVENANT untuk melakukan pengintaian jangka panjang terhadap personel militer Ukraina sejak April 2024.

Operasi ini menyoroti kemampuan adaptasi dan daur ulang kode dari APT28. Mereka tidak selalu membuat senjata dari nol, melainkan memodifikasi malware lawas dan mengeksploitasi layanan penyimpanan awan (cloud storage) komersial untuk menyembunyikan jejak komando mereka dari radar pertahanan.

Baca Juga: Laporan Ancaman Ganda: Botnet "KadNap" Bajak Belasan Ribu Router Asus & Malware Linux "ClipXDaemon" Kuras Kripto

Persenjataan terbaru APT28 bertumpu pada tiga perangkat lunak perusak utama, yang masing-masing memiliki peran spesifik dalam rantai spionase:

1. SLIMAGENT: Reinkarnasi Keylogger Lawas Pertama kali didokumentasikan oleh CERT-UA pada Juni 2025, SLIMAGENT bertugas sebagai mesin penyedot data (merekam ketikan keyboard, menangkap layar, dan mencuri data papan klip). ESET menemukan bahwa SLIMAGENT memiliki akar DNA yang sama dengan XAgent, malware andalan APT28 di era 2010-an. Bukti forensiknya sangat spesifik: kedua malware ini menghasilkan log spionase dalam format HTML dengan skema warna yang identik (Biru untuk nama aplikasi, Merah untuk rekaman ketikan, dan Hijau untuk nama jendela layar).
2. BEARDSHELL dan Teknik Opaque Predicate Backdoor kedua ini bertugas mengeksekusi perintah PowerShell pada mesin yang dikompromikan. Untuk jalur Komando dan Kontrol (C2), BEARDSHELL menyalahgunakan layanan penyimpanan awan yang sah, yakni Icedrive. Secara teknis, BEARDSHELL menggunakan teknik penyamaran (obfuscation) yang sangat langka bernama Opaque Predicate. Teknik spesifik ini sebelumnya hanya ditemukan pada XTunnel, alat peretas yang digunakan APT28 saat membobol Komite Nasional Demokrat (DNC) Amerika Serikat pada tahun 2016. Penggunaan teknik langka ini memberikan tingkat keyakinan tinggi bahwa BEARDSHELL adalah senjata eksklusif milik GRU.
3. COVENANT: Membangkitkan Proyek Open-Source yang Mati COVENANT sejatinya adalah kerangka kerja pasca-eksploitasi .NET open-source yang pengembangan resminya sudah dihentikan sejak April 2021. Menyadari bahwa alat "mati" ini mungkin tidak lagi diawasi ketat oleh sistem pertahanan (Blue Team), pengembang APT28 memodifikasinya secara radikal. Mereka mengimplementasikan protokol jaringan berbasis cloud baru untuk jalur C2. Sejak Juli 2025, COVENANT versi APT28 menyalahgunakan layanan Filen. Pada tahun-tahun sebelumnya, mereka bergantian menggunakan pCloud (2023) dan Koofr (2024-2025).

Strategi operasi APT28 ini menegaskan tren "Living-off-the-Cloud" (LotC). Dengan menggunakan layanan sah seperti Icedrive, Filen, pCloud, dan Koofr, lalu lintas data peretas akan terlihat seperti aktivitas sinkronisasi file karyawan biasa.

Strategi "Implan Ganda" (menggunakan beberapa backdoor sekaligus di satu mesin) yang diterapkan APT28 juga bertujuan untuk menciptakan Redundansi Akses. Jika administrator jaringan berhasil menemukan dan menghapus COVENANT, peretas masih memiliki BEARDSHELL sebagai jalur cadangan untuk masuk kembali ke sistem.

Refleksi dari berbagai operasi perburuan ancaman (Threat Hunting) yang kami lakukan di Fourtrezz menunjukkan bahwa, memblokir IP atau domain (Indicator of Compromise / IoC) statis tidak lagi efektif untuk melawan taktik C2 berbasis Cloud.

Untuk membongkar spionase siluman semacam ini, kami merekomendasikan:

1. Inspeksi SSL/TLS yang Ketat: Perusahaan, terutama di sektor pertahanan dan pemerintahan, wajib melakukan dekripsi dan inspeksi lalu lintas HTTPS di perimeter jaringan. Jika perusahaan Anda menggunakan OneDrive atau Google Drive sebagai standar resmi, maka akses ke layanan cloud ceruk (niche) seperti Icedrive atau Filen harus diblokir secara default melalui kebijakan Secure Web Gateway (SWG).
2. Pemantauan PowerShell Tingkat Lanjut: BEARDSHELL sangat bergantung pada eksekusi PowerShell. Aktifkan Script Block Logging (Event ID 4104) di Windows untuk merekam setiap baris kode PowerShell yang dieksekusi, guna mendeteksi perintah anomali yang diinjeksi oleh backdoor.
3. Analisis Perilaku Titik Akhir (EDR): Deteksi harus bergeser dari "mencari file jahat" menjadi "mencari perilaku jahat". Jika sebuah proses latar belakang (.NET) tiba-tiba mulai melakukan kompresi file layar HTML dan mengirimkannya ke domain cloud storage, EDR harus segera mengkarantina perangkat tersebut (auto-containment).