Operasi Mata-mata Siber Tiongkok Serang Puluhan Perusahaan Telekomunikasi dan Instansi Pemerintah di 42 Negara

Google melalui Threat Intelligence Group (GTIG) bersama Mandiant dan sejumlah mitra keamanan siber berhasil menggagalkan kampanye spionase global yang dikaitkan dengan aktor ancaman yang diduga berasal dari Tiongkok. Operasi ini diketahui menyasar jaringan perusahaan telekomunikasi serta lembaga pemerintahan di berbagai negara dengan teknik yang dirancang untuk menyamarkan lalu lintas berbahaya menggunakan panggilan API layanan SaaS.

Kampanye tersebut diperkirakan telah aktif sejak 2023 dan telah berdampak pada sedikitnya 53 organisasi di 42 negara. Selain itu, terdapat indikasi infeksi tambahan di setidaknya 20 negara lainnya.

Backdoor Baru ‘GRIDTIDE’ dan Penyalahgunaan Google Sheets API

Dalam laporan terbarunya, Google melacak aktivitas ini dengan penanda internal UNC2814. Meskipun vektor akses awal dalam serangan terbaru belum diketahui secara pasti, aktor tersebut sebelumnya diketahui memanfaatkan celah keamanan pada server web dan sistem edge untuk memperoleh akses awal.

Pada kampanye yang baru saja digagalkan, pelaku menyebarkan backdoor berbasis bahasa C yang diberi nama “GRIDTIDE”. Malware ini memanfaatkan Google Sheets API sebagai saluran command-and-control (C2), sehingga aktivitas berbahaya dapat menyatu dengan lalu lintas sah dan menghindari deteksi sistem pemantauan jaringan.

GRIDTIDE melakukan autentikasi ke Google Service Account menggunakan private key yang ditanam langsung dalam kode. Setelah aktif, malware tersebut membersihkan spreadsheet dengan menghapus baris 1 hingga 1000 serta kolom A hingga Z sebagai langkah awal operasional.

Selanjutnya, malware melakukan proses rekognisi sistem, termasuk mengumpulkan informasi nama pengguna, hostname, detail sistem operasi, alamat IP lokal, pengaturan lokal, dan zona waktu. Data tersebut kemudian dicatat pada sel V1 di spreadsheet.

Sel A1 difungsikan sebagai sel perintah dan status. GRIDTIDE secara konstan memantau sel tersebut untuk menerima instruksi. Jika terdapat perintah, malware akan mengeksekusinya dan menggantinya dengan string status. Jika kosong, malware akan mencoba kembali setiap detik hingga 120 kali sebelum beralih ke interval pemeriksaan acak setiap 5 hingga 10 menit guna mengurangi jejak aktivitas mencurigakan.

Mekanisme Eksekusi Perintah dan Eksfiltrasi Data

GRIDTIDE mendukung sejumlah perintah utama, termasuk eksekusi perintah bash yang telah dikodekan dalam format Base64, pengunggahan data ke endpoint, serta pengunduhan file dari sistem korban. Data hasil eksekusi maupun file yang ditransfer ditulis ke rentang sel tertentu pada spreadsheet, yang sekaligus menjadi media pertukaran data dengan server C2.

Seluruh komunikasi antara malware dan infrastruktur kendali menggunakan skema URL-safe Base64. Pendekatan ini membuat lalu lintas berbahaya sulit dibedakan dari aktivitas normal berbasis cloud, sekaligus membantu pelaku menghindari sistem deteksi tradisional berbasis pemantauan web.

Dalam setidaknya satu kasus, Google mengonfirmasi bahwa GRIDTIDE terpasang pada sistem yang menyimpan data pribadi sensitif (PII). Meski demikian, peneliti tidak secara langsung mengamati adanya eksfiltrasi data pada insiden tersebut.

Tindakan Disrupsi dan Respons Mitigasi

Sebagai respons, Google, Mandiant, dan mitra terkait melakukan tindakan terkoordinasi untuk menghentikan operasi ini. Langkah-langkah yang diambil meliputi penghentian seluruh proyek Google Cloud yang dikendalikan oleh UNC2814, penonaktifan infrastruktur yang teridentifikasi, pencabutan akses Google Sheets API yang digunakan dalam operasi C2, serta penonaktifan proyek cloud terkait lainnya. Domain yang digunakan dalam kampanye ini, baik yang aktif maupun historis, turut dialihkan melalui mekanisme sinkhole.

Organisasi yang terdampak telah diberitahu secara langsung dan diberikan dukungan untuk membersihkan sistem dari infeksi. Google juga merilis aturan deteksi serta indikator kompromi (IoC) untuk membantu tim keamanan mengidentifikasi dan memitigasi ancaman serupa.

Meski operasi disrupsi dinilai komprehensif, Google memperkirakan bahwa aktor UNC2814 berpotensi melanjutkan aktivitasnya dengan infrastruktur baru dalam waktu dekat. Hal ini menegaskan bahwa ancaman spionase siber berbasis cloud masih menjadi risiko serius bagi sektor telekomunikasi dan pemerintahan di seluruh dunia.