Tim keamanan siber nasional Ukraina (CERT-UA) mengungkap kampanye serangan siber terbaru yang didalangi oleh kelompok peretas APT28, yang dikenal memiliki keterkaitan dengan intelijen militer Rusia (GRU). Dalam laporan resminya, Ukraina menyebut bahwa serangan ini menargetkan lembaga-lembaga pemerintahan dan melibatkan dua varian malware baru yang disebarkan melalui aplikasi pesan terenkripsi Signal.

Dalam temuan tersebut, dua jenis malware berhasil diidentifikasi:

• BeardShell, sebuah backdoor canggih yang dapat menjalankan skrip PowerShell secara jarak jauh, memungkinkan penyerang mengambil alih sistem korban.
• SlimAgent, malware siluman yang dirancang untuk menangkap tangkapan layar secara terenkripsi dan menyimpannya secara lokal di perangkat yang terinfeksi.

CERT-UA menilai bahwa penggunaan Signal sebagai saluran penyebaran malware menjadi salah satu strategi utama para pelaku untuk menghindari deteksi. Hal ini karena Signal tidak terintegrasi dengan sistem antivirus konvensional, sehingga komunikasi dan file berbahaya dapat dengan mudah lolos dari pantauan sistem keamanan siber.

Serangan ini dimulai dengan kampanye phishing yang menargetkan email pejabat pemerintah Ukraina. Penyerang mengirimkan dokumen Word yang berisi macro berbahaya melalui aplikasi Signal. Mereka berpura-pura menjadi pejabat pemerintah yang meminta tanda tangan digital, taktik rekayasa sosial yang memanfaatkan pengetahuan mendalam mereka tentang target.

Lebih lanjut, CERT-UA mencatat bahwa pelaku menggunakan kombinasi antara BeardShell dan kerangka kerja keamanan ofensif bernama Covenant, yang sebenarnya merupakan alat legal untuk pengujian penetrasi, namun disalahgunakan dalam serangan ini.

Baca Juga: Malware Android Godfather Kembali dengan Versi Lebih Berbahaya, Targetkan Aplikasi Perbankan

Penyerang juga memanfaatkan layanan cloud sah untuk mengelola sistem yang sudah terinfeksi, meningkatkan kompleksitas dan skala kampanye mereka.

Pihak Ukraina menyebut bahwa penggunaan Signal oleh kelompok peretas negara Rusia kini menjadi tren yang mengkhawatirkan. Selain kasus ini, sejumlah pakar keamanan siber Barat juga melaporkan kampanye serupa, termasuk:

• Grup Sandworm yang memanfaatkan perangkat medan tempur Ukraina yang diretas untuk mengakses akun Signal yang terhubung ke sistem Rusia.
• Grup UNC4221 yang menyebarkan kit phishing dengan menyamar sebagai aplikasi artileri Ukraina "Kropyva", menggunakan skrip berbahaya JavaScript bernama Pinpoint untuk mencuri data geolokasi dan informasi perangkat.

Serangan terbaru ini menandai eskalasi baru dalam perang siber antara Rusia dan Ukraina, dengan penggunaan alat komunikasi terenkripsi seperti Signal yang kian canggih. Upaya rekayasa sosial, integrasi malware canggih, dan penyalahgunaan layanan cloud sah menunjukkan bahwa ancaman terhadap institusi pemerintahan tidak hanya bersifat teknis, tapi juga psikologis.

Pemerintah dan lembaga pertahanan disarankan untuk meningkatkan kewaspadaan terhadap taktik rekayasa sosial, serta mengevaluasi ulang protokol keamanan digital mereka terhadap ancaman yang tidak lagi hanya datang melalui email, tetapi juga melalui aplikasi komunikasi pribadi dan terenkripsi.