Kelompok peretas asal Korea Utara, APT37, dilaporkan menggunakan seperangkat malware baru untuk memindahkan data antara sistem yang terhubung internet dan jaringan air-gapped yang terisolasi secara fisik.
Kampanye berbahaya ini dijuluki “Ruby Jumper” dan juga dikaitkan dengan nama lain APT37 seperti ScarCruft, Ricochet Chollima, dan InkySquid.
Jaringan air-gapped merupakan sistem yang sepenuhnya dipisahkan dari jaringan eksternal, termasuk internet publik. Isolasi dapat dilakukan secara fisik dengan menonaktifkan konektivitas seperti Wi-Fi, Bluetooth, dan Ethernet, atau secara logis melalui segmentasi VLAN dan firewall. Pada lingkungan kritis seperti militer, infrastruktur vital, dan lembaga riset, transfer data biasanya dilakukan melalui media penyimpanan eksternal seperti USB drive.
Rantai Infeksi dan Lima Malware Utama
Peneliti dari perusahaan keamanan cloud Zscaler mengidentifikasi lima komponen utama dalam toolkit Ruby Jumper, yakni RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, dan FOOTWINE.
Serangan dimulai ketika korban membuka file shortcut Windows (LNK) berbahaya. File tersebut mengeksekusi skrip PowerShell yang mengekstrak payload tersembunyi di dalamnya. Untuk mengalihkan perhatian, skrip juga membuka dokumen umpan—disebut berupa terjemahan bahasa Arab dari artikel surat kabar Korea Utara tentang konflik Palestina–Israel.
RESTLEAF menjadi implant awal yang berkomunikasi dengan server command-and-control (C2) melalui layanan Zoho WorkDrive. Komponen ini kemudian mengunduh shellcode terenkripsi untuk memuat tahap berikutnya: loader berbasis Ruby bernama SNAKEDROPPER.
Pelaku selanjutnya memasang runtime Ruby 3.3.0 lengkap dengan interpreter dan pustaka standarnya, disamarkan sebagai utilitas USB bernama usbspeed.exe. SNAKEDROPPER memodifikasi file default RubyGems agar kode berbahaya otomatis dijalankan setiap kali interpreter aktif, dibantu tugas terjadwal bernama “rubyupdatecheck” yang berjalan setiap lima menit.
USB Jadi Jembatan Rahasia
Backdoor THUMBSBD diunduh dalam bentuk file Ruby dan berfungsi mengumpulkan informasi sistem, menyiapkan file perintah, serta mengekspor data. Fitur terpentingnya adalah membuat direktori tersembunyi pada USB yang terdeteksi dan menyalin file ke dalamnya.
Dengan cara ini, perangkat penyimpanan eksternal diubah menjadi saluran C2 dua arah yang tersembunyi. Media tersebut memungkinkan pelaku mengirim perintah ke sistem air-gapped sekaligus mengekstrak data darinya.
Komponen VIRUSTASK bertugas menyebarkan infeksi ke mesin air-gapped lain dengan menyamarkan file sah di USB dan menggantinya dengan shortcut berbahaya yang mengeksekusi interpreter Ruby. Proses infeksi hanya dipicu jika media eksternal memiliki ruang kosong minimal 2GB.
Spyware dan Backdoor Tambahan
THUMBSBD juga mengirimkan FOOTWINE, backdoor spyware Windows yang disamarkan sebagai file paket Android (APK). Malware ini mendukung keylogging, pengambilan tangkapan layar, perekaman audio dan video, manipulasi file, akses registry, hingga perintah shell jarak jauh.
Selain itu, peneliti juga menemukan BLUELIGHT, backdoor penuh yang sebelumnya telah dikaitkan dengan APT37.
Zscaler menyatakan memiliki keyakinan tinggi bahwa Ruby Jumper merupakan operasi APT37, berdasarkan sejumlah indikator seperti penggunaan BLUELIGHT, vektor awal melalui file LNK, teknik pengiriman shellcode dua tahap, serta infrastruktur C2 yang konsisten dengan pola serangan kelompok tersebut.
Dokumen umpan yang digunakan juga menunjukkan target memiliki ketertarikan pada narasi media Korea Utara, selaras dengan profil korban yang biasa disasar oleh APT37.
Temuan ini memperlihatkan bagaimana aktor negara terus mengembangkan teknik canggih untuk menembus batas isolasi fisik jaringan air-gapped, yang selama ini dianggap sebagai salah satu bentuk perlindungan paling kuat dalam keamanan siber.