Peretas Iran Serang Lebih dari 100 Lembaga Pemerintah dengan Backdoor Phoenix
Kelompok peretas yang disponsori negara Iran, MuddyWater, dilaporkan telah menargetkan lebih dari 100 entitas pemerintah dalam serangan siber besar yang menggunakan Phoenix backdoor versi terbaru (v4). Aksi ini menandai kelanjutan operasi siber intensif kelompok tersebut di kawasan Timur Tengah dan Afrika Utara.
Operasi Siber Skala Besar
Menurut laporan terbaru dari perusahaan keamanan siber Group-IB, kampanye ini dimulai pada 19 Agustus 2025, ketika para peretas melancarkan serangan phishing melalui akun email yang telah mereka kompromikan menggunakan layanan NordVPN. Dari akun tersebut, mereka mengirimkan email berisi dokumen Word berbahaya ke sejumlah besar lembaga pemerintah, kementerian luar negeri, kedutaan, dan misi diplomatik di Timur Tengah dan Afrika Utara.
Pada 24 Agustus, infrastruktur command-and-control (C2) utama kelompok tersebut dilaporkan ditutup, kemungkinan sebagai bagian dari peralihan tahap operasi yang menggunakan alat dan malware lain untuk mengumpulkan informasi tambahan dari sistem korban.
Kembali ke Teknik Makro di Microsoft Office
Dalam kampanye ini, MuddyWater kembali memanfaatkan lampiran dokumen Word dengan kode makro VBA, metode lama yang sempat populer sebelum Microsoft menonaktifkan makro secara default.
Dokumen berbahaya tersebut menginstruksikan korban untuk “Enable Content” (aktifkan konten), yang kemudian memicu eksekusi makro. Kode makro itu menulis FakeUpdate malware loader ke dalam disk, yang kemudian mendekripsi dan mengeksekusi payload utama, yaitu Phoenix backdoor.
Payload disimpan di jalur sistem C:\ProgramData\sysprocupdate.exe dan menjaga persistensi dengan mengubah entri Windows Registry, memastikan malware dijalankan kembali setiap kali pengguna masuk ke sistem.
Evolusi Phoenix Backdoor
Phoenix bukan ancaman baru bagi peneliti keamanan. Versi keempat yang digunakan kali ini memperlihatkan mekanisme persistensi tambahan berbasis COM serta beberapa perubahan fungsional dibanding versi sebelumnya.
Backdoor ini dirancang untuk mengumpulkan informasi sistem seperti nama komputer, domain, versi Windows, dan nama pengguna, yang kemudian dikirim ke server C2 menggunakan WinHTTP. Setelah itu, malware mulai mengirimkan sinyal (beaconing) dan menunggu perintah lebih lanjut dari operator.
Phoenix v4 diketahui mendukung perintah-perintah berikut:
65— Sleep (menunda aktivitas)68— Upload file85— Download file67— Start shell (menjalankan perintah jarak jauh)83— Update sleep interval (ubah jeda waktu aktivitas)
Penyebaran Alat Tambahan dan Pengumpulan Data
Selain Phoenix, MuddyWater juga menggunakan infostealer khusus yang menargetkan browser populer seperti Chrome, Opera, Brave, dan Edge. Alat ini mencuri database kredensial, mengekstrak sandi tersimpan, serta memperoleh master key untuk mendekripsinya.
Peneliti Group-IB juga menemukan keberadaan beberapa alat lain di infrastruktur C2 kelompok ini, termasuk PDQ utility untuk manajemen perangkat lunak dan Action1 RMM (Remote Monitoring and Management tool). PDQ sendiri telah dikaitkan dengan serangan siber lain yang melibatkan aktor ancaman asal Iran.
Atribusi dan Konsistensi Taktik
Group-IB menegaskan atribusi kepada MuddyWater dengan tingkat keyakinan tinggi. Hal ini didasarkan pada pola penggunaan keluarga malware yang sama, teknik decoding string khas, serta sasaran yang konsisten dengan kampanye mereka sebelumnya.
Kelompok ini, yang juga dikenal dengan nama Static Kitten, Mercury, dan Seedworm, telah lama aktif menyerang lembaga pemerintah dan organisasi swasta di Timur Tengah — sering kali dengan tujuan spionase siber dan pengumpulan intelijen strategis.
Serangan terbaru ini menegaskan kembali bahwa MuddyWater terus beradaptasi, memadukan metode lama seperti makro dengan teknik infiltrasi baru untuk mempertahankan efektivitas operasinya di tengah peningkatan pertahanan siber global.
Sumber: BleepingComputer
