PhantomCaptcha ClickFix: Serangan Spearphishing Targetkan Lembaga Bantuan Perang Ukraina
Sebuah kampanye spearphishing berdurasi satu hari berhasil menargetkan pemerintah daerah Ukraina serta organisasi kemanusiaan internasional seperti ICRC, UNICEF, dan berbagai LSM yang terlibat dalam bantuan perang Ukraina.
Serangan ini dijuluki “PhantomCaptcha”, menggunakan serangan ClickFix yang menyamar sebagai verifikasi CAPTCHA Cloudflare untuk menipu korban agar menjalankan perintah berbahaya di sistem mereka.
🎯 Target & Waktu Serangan
Menurut laporan dari SentinelLABS (SentinelOne), serangan ini terjadi hanya pada 8 Oktober 2025, namun penyerang telah mempersiapkan infrastruktur berbulan-bulan sebelumnya, dengan beberapa domain pancingan yang terdaftar sejak Maret 2025.
Target utama meliputi:
- Pemerintah daerah Ukraina
- International Committee of the Red Cross (ICRC)
- UNICEF
- Beberapa NGO pendukung bantuan perang Ukraina
🧠 Modus Operandi: “I Am Not a Robot” ClickFix
Serangan dimulai dengan email palsu yang mengaku dari Kantor Presiden Ukraina, disertai lampiran PDF berisi tautan ke situs Zoom palsu zoomconference[.]app.
Saat korban mengklik tautan tersebut, mereka diarahkan ke halaman yang menampilkan pemeriksaan browser otomatis, yang sebenarnya membuat WebSocket connection untuk mengidentifikasi perangkat korban.
Jika ID klien cocok dengan database penyerang, korban diarahkan ke sesi Zoom asli dan dilanjutkan dengan panggilan sosial-engineering langsung.
Namun, jika tidak cocok, korban akan melihat halaman palsu verifikasi Cloudflare CAPTCHA.
⚙️ Tahap Eksekusi Serangan
Pada halaman palsu tersebut, korban diminta mengikuti instruksi dalam bahasa Ukraina:
menekan tombol untuk menyalin “token” lalu menempelkannya ke Command Prompt (CMD).
Aksi ini sebenarnya mengeksekusi perintah PowerShell yang:
- Mengunduh dan menjalankan skrip jahat bernama cptch,
- Menginstal utilitas pengintai untuk mengumpulkan data sistem seperti:
- Nama komputer
- Domain
- Username
- Process ID dan System UUID
- Mengirimkan data ke server Command-and-Control (C2) penyerang.
Tahap akhir men-deploy WebSocket RAT (Remote Access Trojan), yang mampu:
- Menjalankan perintah jarak jauh
- Mengirim dan menerima data terenkripsi (base64 JSON)
- Melakukan data exfiltration tanpa deteksi antivirus tradisional.
📱 Kampanye Lanjutan: Spyware Android
Peneliti juga menemukan bahwa kampanye singkat ini terhubung ke operasi lanjutan di Lviv, Ukraina — menyebarkan aplikasi Android bertema dewasa dan cloud storage palsu.
Aplikasi ini berfungsi sebagai spyware yang memantau lokasi real-time, log panggilan, kontak, dan foto pengguna.
🕵️ Kemungkinan Keterlibatan Rusia
Walau SentinelLABS belum menetapkan pelaku secara pasti, indikator teknis menunjukkan:
- Server RAT berbasis WebSocket di-host di infrastruktur Rusia,
- Kampanye Android diduga berasal dari pengembang Rusia atau Belarus.
Selain itu, laporan Google Threat Intelligence Group (GTIG) juga mencatat serangan CAPTCHA palsu serupa, dikaitkan dengan grup ColdRiver (Star Blizzard / Callisto) — unit siber FSB Rusia yang aktif dalam spionase digital terhadap Ukraina dan sekutunya.
🧩 Kesimpulan
Serangan PhantomCaptcha ClickFix menunjukkan peningkatan sofistikasi taktik spearphishing, memanfaatkan CAPTCHA palsu untuk memancing korban menjalankan perintah secara manual — teknik yang memadukan social engineering dan technical exploitation.
Organisasi kemanusiaan dan pemerintah di kawasan konflik seperti Ukraina disarankan untuk:
- Mewaspadai tautan palsu dalam undangan Zoom atau dokumen resmi,
- Melatih staf tentang ancaman CAPTCHA palsu,
- Menggunakan isolasi browser atau sandbox environment saat membuka dokumen email tak terverifikasi.
Sumber: SentinelLABS (SentinelOne), Google Threat Intelligence Group (GTIG), via BleepingComputer
