Hacker Negara Tiongkok Targetkan Telko dengan Toolkit Malware Baru
Kelompok ancaman persisten tingkat lanjut (APT) yang dikaitkan dengan Tiongkok, dilacak sebagai UAT-9244, dilaporkan menargetkan penyedia layanan telekomunikasi di Amerika Selatan sejak 2024.
Menurut laporan peneliti dari Cisco Talos, UAT-9244 memiliki keterkaitan erat dengan kelompok peretas FamousSparrow dan Tropic Trooper, meski aktivitasnya dilacak sebagai klaster terpisah.
Penilaian tersebut didasarkan pada kemiripan alat, taktik, teknik, dan prosedur (TTP), serta profil korban yang konsisten dengan operasi spionase siber sebelumnya.
Tiga Malware Baru untuk Infrastruktur Telko
Dalam kampanye ini, peneliti mengidentifikasi tiga keluarga malware yang sebelumnya belum terdokumentasi:
- TernDoor – Backdoor Windows
- PeerTime – Backdoor Linux berbasis BitTorrent
- BruteEntry – Alat brute-force untuk membangun infrastruktur proxy (ORB)
TernDoor: Backdoor Windows dengan Driver Tersembunyi
TernDoor disebarkan melalui teknik DLL side-loading menggunakan executable sah wsprint.exe untuk memuat file berbahaya BugSplatRc64.dll.
DLL tersebut mendekripsi payload akhir dan menyuntikkannya ke proses msiexec.exe di memori. Malware ini juga menyertakan driver Windows tertanam (WSPrint.sys) yang dapat menghentikan, menangguhkan, atau melanjutkan proses sistem.
Persistensi dicapai melalui scheduled task dan modifikasi registry Windows, termasuk teknik untuk menyembunyikan tugas terjadwal tersebut.
Kemampuannya meliputi eksekusi perintah jarak jauh, menjalankan proses arbitrer, membaca dan menulis file, mengumpulkan informasi sistem, hingga menghapus dirinya sendiri.
PeerTime: Backdoor Linux dengan Komunikasi BitTorrent
PeerTime merupakan backdoor berbasis ELF yang menargetkan berbagai arsitektur seperti ARM, AARCH, PPC, dan MIPS, mengindikasikan fokus pada perangkat embedded dan perangkat jaringan di lingkungan telekomunikasi.
Peneliti menemukan dua versi PeerTime—satu ditulis dalam C/C++ dan satu lagi menggunakan Rust. Terdapat string debug dalam Bahasa Mandarin Sederhana pada salah satu binari, yang menjadi indikator asal pengembangannya.
PeerTime menggunakan protokol BitTorrent untuk komunikasi command-and-control (C2), mengunduh payload dari peer lain, serta memanfaatkan BusyBox untuk menulis file di sistem target.
Proses malware disamarkan dengan mengganti nama agar terlihat sah, sementara payload didekripsi dan dijalankan langsung di memori.
BruteEntry: Mesin Pindai dan Brute-Force
BruteEntry terdiri dari binari berbasis Go dan modul brute-force. Fungsinya adalah mengubah perangkat yang terinfeksi menjadi node pemindai yang dikenal sebagai Operational Relay Boxes (ORB).
Perangkat yang terinfeksi digunakan untuk memindai target baru dan melakukan brute-force terhadap layanan seperti SSH, Postgres, dan Tomcat. Hasil percobaan login kemudian dikirim kembali ke server C2 bersama status tugas.
Target Infrastruktur Jaringan
Cisco Talos mencatat bahwa kampanye ini menargetkan sistem Windows, Linux, serta perangkat network-edge milik operator telekomunikasi.
Meskipun UAT-9244 memiliki profil target serupa dengan klaster ancaman Salt Typhoon, peneliti belum menemukan bukti kuat yang menghubungkan kedua aktivitas tersebut.
Indikator Kompromi dan Mitigasi
Dalam laporan teknisnya, Cisco Talos merinci kemampuan ketiga malware tersebut, metode penyebaran, serta teknik persistensi yang digunakan.
Peneliti juga mempublikasikan indikator kompromi (IoC) yang dapat dimanfaatkan tim keamanan untuk mendeteksi dan memblokir aktivitas terkait UAT-9244 secara dini.
Serangan terhadap sektor telekomunikasi dinilai sangat strategis karena memberikan akses luas terhadap lalu lintas jaringan dan komunikasi, sehingga berpotensi dimanfaatkan untuk spionase jangka panjang.
