Google mengungkap malware baru bernama BadAudio yang digunakan kelompok peretas APT24, aktor ancaman yang dikaitkan dengan Tiongkok, dalam kampanye spionase berjangka panjang sejak 2022. Kampanye ini menunjukkan evolusi signifikan dalam metode serangan, mencakup spearphishing, kompromi rantai pasok, hingga serangan watering hole yang menargetkan perangkat Windows.
Menurut Google Threat Intelligence Group (GTIG), sejak akhir 2022 hingga setidaknya September 2025, APT24 membajak lebih dari 20 situs publik yang sah dan menyuntikkan JavaScript berbahaya untuk menyeleksi pengunjung yang menjadi target. Bagi korban yang lolos proses fingerprinting, pelaku menampilkan pop-up pembaruan perangkat lunak palsu yang digunakan sebagai umpan untuk mengunduh BadAudio.
Mulai Juli 2024, APT24 juga berulang kali menyerang perusahaan pemasaran digital di Taiwan yang menyediakan pustaka JavaScript untuk ratusan klien. Serangan ini memungkinkan mereka menyusupi ribuan domain melalui injeksi JavaScript berbahaya pada pustaka yang didistribusikan vendor tersebut. Pada periode akhir 2024 hingga pertengahan 2025, pelaku kembali mengeksploitasi perusahaan yang sama dengan menanamkan JavaScript terobfusksi pada file JSON yang dimodifikasi. Setiap eksekusi mengirim laporan terenkripsi ke server pelaku, memungkinkan mereka menentukan tahap serangan selanjutnya.
Di saat yang sama, sejak Agustus 2024, APT24 melancarkan kampanye spearphishing yang menyamar sebagai organisasi penyelamat hewan. Varian serangan menggunakan layanan cloud sah seperti Google Drive dan OneDrive untuk distribusi malware. Banyak email berhasil disaring sebagai spam, namun sebagian tetap mencapai target, disertai tracking pixel guna memantau kapan pesan dibuka.
GTIG menjelaskan bahwa BadAudio sangat terobfusksi untuk menghindari deteksi. Malware ini memanfaatkan teknik DLL search order hijacking agar muatan berbahaya dapat dijalankan melalui aplikasi sah. Struktur kode diacak menggunakan control flow flattening, membuat analisis manual maupun otomatis menjadi jauh lebih sulit.
Setelah dijalankan, BadAudio mengumpulkan informasi dasar sistem—seperti nama komputer, pengguna, dan arsitektur—lalu mengenkripsinya menggunakan AES sebelum mengirimkannya ke server command-and-control (C2). Tahap berikutnya, malware mengunduh muatan tambahan terenkripsi dari C2, mendekripsinya, dan mengeksekusinya di memori menggunakan teknik DLL sideloading untuk menghindari jejak. Dalam salah satu kasus, GTIG mengamati penyebaran Cobalt Strike Beacon melalui BadAudio, meski tidak terjadi pada semua sampel.
Menariknya, meski digunakan selama tiga tahun, BadAudio berhasil bertahan hampir tanpa terdeteksi. Dari delapan sampel yang dianalisis GTIG, hanya dua yang terdeteksi lebih dari 25 solusi antivirus di VirusTotal, sementara sisanya hanya dikenali oleh lima atau kurang, meskipun dibuat sejak Desember 2022.
GTIG menilai evolusi taktik APT24 menunjukkan kemampuan operasional tinggi dan adaptasi berkelanjutan dalam operasi spionase mereka, dengan kecenderungan menuju metode serangan yang semakin tersembunyi dan kompleks.