Peretas Korea Utara Manfaatkan Google Find Hub untuk Lacak dan Hapus Data Android Korban
Kelompok peretas yang diduga berafiliasi dengan Korea Utara dilaporkan menyalahgunakan fitur Google Find Hub untuk melacak lokasi GPS target sekaligus mereset perangkat Android ke pengaturan pabrik dari jarak jauh.
Serangan ini menargetkan warga Korea Selatan, dengan pola pendekatan awal melalui aplikasi pesan populer KakaoTalk.
Menurut laporan dari perusahaan keamanan siber Genians, aktivitas berbahaya ini dikaitkan dengan kelompok KONNI, yang memiliki keterkaitan infrastruktur dan target dengan grup APT37 (ScarCruft) serta Kimsuky (Emerald Sleet) — dua kelompok peretas terkenal asal Korea Utara yang sebelumnya menargetkan sektor pendidikan, pemerintahan, dan kripto.
Modus Serangan: Dari Spear-Phishing hingga Penghapusan Data
Kampanye KONNI menggunakan pesan spear-phishing yang mengatasnamakan lembaga resmi Korea Selatan seperti Dinas Pajak Nasional atau Kepolisian Nasional.
Korban diarahkan untuk membuka lampiran berformat MSI atau ZIP yang telah ditandatangani secara digital agar terlihat sah.
Setelah dieksekusi, file tersebut menjalankan skrip install.bat dan error.vbs yang menampilkan pesan kesalahan palsu seperti “language pack error” untuk mengalihkan perhatian korban.
Sementara itu, skrip tersembunyi AutoIT (IoKITr.au3) diaktifkan, menanamkan persistence lewat scheduled task, lalu mengunduh modul tambahan dari server command and control (C2) milik pelaku.
Modul lanjutan yang diunduh meliputi:
- RemcosRAT
- QuasarRAT
- RftRAT
Ketiganya memberikan pelaku akses jarak jauh penuh, mencatat keystroke, serta mencuri kredensial akun Google dan Naver milik korban.
Eksploitasi Google Find Hub
Setelah berhasil menguasai akun Google korban, pelaku menggunakan Google Find Hub — alat resmi “Find My Device” di Android — untuk:
- Mengakses daftar perangkat terdaftar korban,
- Melacak lokasi GPS secara real time,
- Menjalankan perintah reset jarak jauh guna menghapus seluruh data perangkat.
Analisis forensik Genians menemukan bukti bahwa pelaku menjalankan perintah reset sebanyak tiga kali, menyebabkan penghapusan total data penting serta menunda upaya pemulihan.
Lebih jauh, aksi ini juga memutus sesi KakaoTalk PC korban, yang kemudian diambil alih oleh pelaku untuk menyebarkan file berbahaya kepada kontak korban — memperluas rantai infeksi.
Contoh Serangan Nyata
Pada 5 September 2025, Genians mendeteksi serangan terhadap seorang konselor di Korea Selatan yang bekerja dengan remaja pembelot Korea Utara.
Akun KakaoTalk konselor tersebut diretas, dan pelaku mengirimkan file berbahaya yang diklaim sebagai “program penghilang stres” kepada seorang siswa pembelot.
Analisis menunjukkan bahwa pelaku menggunakan fitur GPS tracking untuk memilih waktu serangan saat korban berada di luar rumah, sehingga tidak segera menyadari bahwa perangkatnya telah dihapus.
Tujuan dan Dampak
Tindakan factory reset ini digunakan untuk:
- Menghapus jejak digital serangan,
- Mengisolasi korban dari sumber komunikasi, dan
- Menunda proses investigasi atau pemulihan data.
Selain kehilangan data pribadi, korban juga kehilangan kemampuan untuk menerima peringatan keamanan dari perangkat yang telah disusupi.
Cara Mencegah Serangan Serupa
Genians memberikan beberapa rekomendasi penting bagi pengguna Android:
- Aktifkan multi-factor authentication (MFA) pada akun Google untuk mencegah akses tidak sah.
- Pastikan akun pemulihan (recovery account) telah dikonfigurasi dengan benar.
- Verifikasi identitas pengirim file di aplikasi pesan seperti KakaoTalk sebelum mengunduh atau membuka lampiran.
- Hindari membuka lampiran dengan ekstensi .MSI, .ZIP, atau skrip .BAT dari sumber yang tidak dikenal.
Genians juga merilis laporan teknis lengkap berisi analisis malware dan indikator kompromi (IoCs) untuk membantu organisasi keamanan dalam mendeteksi aktivitas terkait.
