Kelompok peretas yang didukung negara Rusia, APT28 (juga dikenal sebagai Fancy Bear), telah mengembangkan taktik baru dalam kampanye siber mereka terhadap Ukraina. Mereka memanfaatkan aplikasi pesan terenkripsi Signal untuk menyebarkan malware baru yang belum terdokumentasi sebelumnya, yaitu BeardShell dan SlimAgent. Serangan ini menargetkan lembaga pemerintah Ukraina dengan metode yang semakin canggih dan sulit dideteksi.
🧠 Metode Serangan
Serangan ini pertama kali terdeteksi oleh CERT-UA (Computer Emergency Response Team of Ukraine) pada Maret 2024, namun detail lengkap baru terungkap setelah investigasi lanjutan pada Mei 2025. Dalam serangan ini, APT28 mengirimkan dokumen berbahaya bernama Акт.doc melalui pesan Signal. Dokumen tersebut berisi makro yang, ketika diaktifkan, memuat backdoor Covenant ke dalam memori perangkat korban.
Covenant kemudian mengunduh file DLL (PlaySndSrv.dll) dan file WAV (sample-03.wav) yang berisi shellcode untuk memuat BeardShell, malware berbasis C++ yang belum pernah terdokumentasi sebelumnya. Untuk mempertahankan keberadaan di sistem, malware ini menggunakan teknik COM-hijacking pada registri Windows.
🔐 Analisis Malware
BeardShell:
- Dikembangkan dalam bahasa C++.
- Memiliki kemampuan eksekusi perintah jarak jauh.
- Menggunakan teknik COM-hijacking untuk persistensi.
SlimAgent:
- Detail teknis masih terbatas, namun diketahui digunakan dalam serangan yang sama.
- Diduga memiliki fungsi pengumpulan data dan eksfiltrasi.
Sumber:
- BleepingComputer: APT28 hackers use Signal chats to launch new malware attacks on Ukraine
