Sebuah kelompok ancaman yang didukung negara terungkap menjalankan operasi spionase berskala global bertajuk Shadow Campaigns, dengan sasaran utama lembaga pemerintahan dan infrastruktur kritis di berbagai belahan dunia. Operasi ini tidak hanya berhasil menembus puluhan jaringan penting, tetapi juga melakukan aktivitas pengintaian terhadap entitas yang terhubung dengan 155 negara.
Berdasarkan temuan tim riset keamanan siber Unit 42, kelompok ini telah aktif setidaknya sejak Januari 2024 dan diyakini beroperasi dari kawasan Asia. Hingga proses atribusi final dapat dipastikan, aktor tersebut dilacak dengan penamaan TGR-STA-1030 atau UNC6619.
Skala dan Fokus Target Serangan
Dalam periode November hingga Desember tahun lalu, kelompok ini dilaporkan berhasil mengompromikan sedikitnya 70 organisasi pemerintahan dan infrastruktur kritis yang tersebar di 37 negara. Fokus utama serangan mencakup kementerian pemerintahan, aparat penegak hukum, lembaga imigrasi dan perbatasan, sektor keuangan, perdagangan, energi, pertambangan, hingga institusi diplomatik.
Target yang terkonfirmasi meliputi organisasi yang menangani kebijakan perdagangan, isu geopolitik, serta penyelenggaraan pemilu di kawasan Amerika. Di Eropa, serangan menyasar berbagai kementerian dan parlemen. Sementara itu, di kawasan Asia-Pasifik, aktivitas berbahaya terdeteksi terhadap lembaga pemerintahan dan infrastruktur strategis di Australia dan Taiwan.
Unit 42 mencatat bahwa pemilihan target tampak sangat dipengaruhi oleh momentum dan peristiwa tertentu. Saat terjadi penutupan pemerintahan Amerika Serikat pada Oktober 2025, aktivitas pemindaian meningkat signifikan terhadap entitas di Amerika Utara, Tengah, dan Selatan. Menjelang pemilu nasional Honduras, kelompok ini juga terpantau melakukan pemetaan agresif terhadap ratusan alamat IP milik infrastruktur pemerintah setempat.
Organisasi yang Berhasil Dikompromikan
Sejumlah entitas yang dipastikan terdampak mencakup kementerian energi dan pertambangan di Brasil, jaringan lembaga terkait pertambangan di Bolivia, dua kementerian di Meksiko, serta infrastruktur pemerintahan di Panama. Selain itu, ditemukan pula kompromi terhadap fasilitas teknologi di Venezuela, berbagai lembaga pemerintahan di sejumlah negara Eropa, satu maskapai penerbangan di Indonesia, serta beberapa kementerian dan departemen pemerintahan di Malaysia.
Di kawasan Asia dan Afrika, target serangan meluas ke lembaga penegak hukum Mongolia, pemasok utama peralatan kelistrikan di Taiwan, satu departemen pemerintahan Thailand, serta berbagai entitas infrastruktur kritis di negara-negara Afrika seperti Republik Demokratik Kongo, Nigeria, dan Zambia.
Peneliti juga meyakini adanya upaya koneksi tidak sah ke infrastruktur lembaga penting lainnya, termasuk kementerian keuangan dan kantor pemerintahan tingkat tinggi di beberapa negara Asia dan Pasifik.
Rantai Serangan dan Teknik Awal
Pada tahap awal, operasi Shadow Campaigns mengandalkan email phishing yang sangat terpersonalisasi, umumnya dikirim ke pejabat pemerintahan dengan umpan berupa isu internal seperti restrukturisasi kementerian. Email tersebut mengarahkan korban ke arsip berbahaya yang berisi loader malware bernama Diaoyu.
Malware ini dirancang untuk memuat payload lanjutan dan kerangka command-and-control tertentu, dengan mekanisme penghindaran analisis yang ketat. Salah satu teknik yang digunakan adalah pemeriksaan lingkungan sistem dan keberadaan file tertentu sebagai validasi sebelum eksekusi penuh dilakukan.
Selain phishing, kelompok ini juga mengeksploitasi sedikitnya 15 kerentanan keamanan yang telah dikenal luas untuk mendapatkan akses awal, termasuk celah pada sistem manajemen perusahaan, server email, perangkat jaringan, dan sistem operasi.
Rootkit Linux Baru “ShadowGuard”
Yang paling mengkhawatirkan, peneliti menemukan keberadaan rootkit kernel Linux berbasis eBPF yang dinamai ShadowGuard. Rootkit ini dinilai unik dan secara khusus dikembangkan oleh aktor ancaman tersebut.
Beroperasi langsung di ruang kernel, ShadowGuard mampu menyembunyikan proses berbahaya, memanipulasi log sistem, dan mengaburkan aktivitas jahat dari alat pemantauan keamanan. Kemampuan ini menjadikannya sangat sulit terdeteksi, bahkan oleh pemeriksaan manual.
Infrastruktur dan Pola Operasi
Untuk mendukung operasinya, kelompok ini memanfaatkan server perantara dari penyedia VPS sah di berbagai negara, dikombinasikan dengan server relay, proxy residensial, dan jaringan anonimisasi. Nama domain yang digunakan sering kali dibuat menyerupai domain resmi agar terlihat familiar bagi target, meningkatkan peluang keberhasilan serangan.
Secara keseluruhan, Unit 42 menilai TGR-STA-1030/UNC6619 sebagai aktor spionase yang matang secara operasional, dengan fokus kuat pada pengumpulan intelijen strategis, ekonomi, dan politik. Dampak operasinya telah dirasakan oleh puluhan pemerintahan di seluruh dunia dan berpotensi terus meluas.