Sebuah organisasi nirlaba Islam di Arab Saudi telah menjadi target kampanye spionase siber tersembunyi yang menggunakan backdoor yang tidak terdokumentasi sebelumnya yang disebut Zardoor. Temuan ini dilakukan oleh Cisco Talos pada bulan Mei 2023, menyatakan bahwa kampanye tersebut mungkin telah berlangsung sejak setidaknya bulan Maret 2021. Meskipun hanya satu target yang teridentifikasi secara langsung, diduga ada korban lain yang terkena dampak.

Menurut peneliti keamanan Jungsoo An, Wayne Lee, dan Vanja Svajcer, pelaku kampanye ini menggunakan sistem biner Living-off-the-Land (LoLBins) untuk menerapkan backdoor, memasang komando dan kontrol (C2), serta mempertahankan akses tanpa menarik perhatian.

Intrusi ini melibatkan eksfiltrasi data secara berkala sekitar dua kali sebulan, dengan vektor akses awal yang masih belum diketahui secara pasti. Namun, setelah mendapatkan pijakan, pelaku memanfaatkan alat proksi terbalik seperti Fast Reverse Proxy (FRP), sSocks, dan Venom untuk membuat koneksi C2.

Baca Juga : Amerika Serikat Luncurkan Serangan Siber Terhadap Kapal Mata-mata Militer Iran

Para peneliti menjelaskan bahwa setelah koneksi terjalin, pelaku menggunakan Windows Management Instrumentation (WMI) untuk menyebarkan alat penyerang dan menjalankan perintah dari C2. Jalur infeksi yang belum jelas memungkinkan dropper untuk menyebarkan modul backdoor, di antaranya “zar32.dll” dan “zor32.dll”.

Meskipun asal muasal pelaku belum jelas, taktik yang digunakan dinilai sebagai karya “aktor ancaman tingkat lanjut”. Zardoor memiliki kemampuan untuk mengekstraksi data, mengeksekusi kode dari jarak jauh, memperbarui alamat IP C2, dan menghapus dirinya sendiri dari host.

Keberadaan kampanye spionase semacam ini menyoroti ancaman yang terus berkembang dalam dunia siber dan menekankan pentingnya penguatan sistem keamanan cyber di semua sektor. Selain itu, kejadian ini juga menunjukkan perlunya upaya kolaboratif untuk mengidentifikasi dan menanggapi ancaman siber secara efektif.