Security

Hacker MuddyWater Gunakan Ransomware ‘Chaos’ Sebagai Umpan dalam Serangan Siber

45 minutes ago
4 minutes read

Kelompok peretas asal Iran, MuddyWater, dilaporkan telah menyamarkan operasi spionase siber mereka sebagai serangan ransomware Chaos. Mereka sangat mengandalkan taktik rekayasa sosial (social engineering) melalui platform komunikasi Microsoft Teams untuk mendapatkan akses awal dan membangun persistensi di dalam jaringan target.

Meskipun insiden yang diamati ini secara kasat mata melibatkan pencurian kredensial, persistensi sistem, akses jarak jauh, eksfiltrasi data, pengiriman email pemerasan, hingga pencantuman nama korban di portal kebocoran ransomware Chaos, fakta di lapangan menunjukkan hal lain. Peretas rupanya menggunakan infrastruktur dan teknik yang sangat identik dengan operasi MuddyWater.

Para peneliti keamanan dari Rapid7 meyakini bahwa komponen ransomware ini kemungkinan besar hanya digunakan untuk menutupi operasi spionase siber yang sebenarnya, sekaligus untuk menyulitkan proses atribusi (identifikasi pelaku).

“Strategi ini menyoroti konvergensi antara aktivitas intrusi yang disponsori negara dan keahlian kriminal, di mana ‘tanda’ besar terletak pada teknik yang disebarkan – dan yang tidak,” urai pihak Rapid7. “Strategi ini menunjukkan bahwa tujuan utama (mereka) bukanlah keuntungan finansial.”

Atribusi Serangan ke Intelijen Iran

Meskipun menggunakan penyamaran yang cerdik, Rapid7 memiliki keyakinan tingkat menengah dalam mengatribusikan insiden ini kepada MuddyWater—kelompok ancaman yang juga beroperasi dengan alias Static Kitten, Mango Sandstorm, dan Seedworm.

Kesimpulan ini ditarik berdasarkan sejumlah temuan penting:

  • Adanya tumpang tindih infrastruktur jaringan.
  • Penggunaan sertifikat penandatanganan kode spesifik yang kerap digunakan oleh grup yang disponsori negara ini untuk menandatangani malware Stagecomp dan Darkcomp.
  • Kemiripan pada berbagai rekam jejak operasional.

Sebagai catatan, MuddyWater adalah kelompok spionase siber yang disponsori oleh negara Iran, yang terkenal dengan kampanye intrusi jaringan berjangka panjang yang sejalan dengan Kementerian Intelijen dan Keamanan (MOIS) negara tersebut.

Sementara itu, Chaos pada dasarnya adalah operasi Ransomware-as-a-Service (RaaS) yang muncul pada tahun 2025 dan dikenal dengan taktik pemburuan “mangsa besar”, pemerasan ganda, serta kampanye rekayasa sosial yang sebagian besar menargetkan organisasi di Amerika Serikat.

Progresi dan Alur Serangan

Intrusi yang dianalisis oleh Rapid7 menunjukkan alur peretasan yang terstruktur dengan rapi:

  • Rekayasa Sosial Microsoft Teams: Serangan dimulai dengan peretas memulai obrolan dengan karyawan perusahaan melalui Microsoft Teams. Mereka kemudian membuat sesi berbagi layar (screen-sharing), memanen kredensial, memanipulasi pengaturan autentikasi multi-faktor (MFA), dan dalam beberapa kasus, secara diam-diam menyebarkan perangkat lunak AnyDesk untuk akses jarak jauh.
  • Pencurian Kredensial: Data masuk korban dicuri baik melalui halaman phishing yang menyamar sebagai layanan Microsoft Quick Assist, atau dengan mengelabui korban agar mengetikkan kata sandi mereka secara manual ke dalam file teks lokal.
  • Akses dan Persistensi: Setelah berhasil mengkompromikan akun, peretas mengautentikasi sistem internal target (termasuk pengontrol domain) dan membangun persistensi menggunakan protokol RDP, DWAgent, dan AnyDesk.
  • Penyebaran Backdoor Kustom: Penyerang kemudian memanfaatkan pemuat malware (ms_upd.exe) untuk melepaskan pintu belakang (backdoor) kustom bernama Game.exe, yang disamarkan secara cerdik sebagai aplikasi Microsoft WebView2.

Malware backdoor ini dilengkapi dengan pemeriksaan anti-analisis dan anti-VM untuk menghindari deteksi keamanan, serta mendukung 12 perintah jarak jauh, termasuk eksekusi perintah PowerShell dan CMD, pengunggahan dan penghapusan file, serta akses shell persisten.

Rapid7 mencatat bahwa MuddyWater juga pernah menggunakan ransomware di masa lalu untuk menutupi operasi spionase siber mereka. Pada akhir tahun 2025, aktor ancaman ini diketahui menyebarkan ransomware Qilin dalam sebuah serangan terhadap organisasi di Israel. Para peneliti menduga bahwa grup peretas ini mungkin sengaja beralih ke merek ransomware yang berbeda setelah operasi tahun 2025 tersebut berhasil diungkap dan diatribusikan ke operasi MOIS.

Hacker MuddyWater Gunakan Ransomware ‘Chaos’ Sebagai Umpan dalam Serangan Siber

Kelompok peretas asal Iran, MuddyWater, dilaporkan telah menyamarkan operasi spionase siber mereka sebagai serangan ransomware Chaos. Mereka sangat mengandalkan taktik rekayasa sosial (social engineering) melalui platform komunikasi Microsoft Teams untuk mendapatkan akses awal dan membangun persistensi di dalam jaringan target.

Meskipun insiden yang diamati ini secara kasat mata melibatkan pencurian kredensial, persistensi sistem, akses jarak jauh, eksfiltrasi data, pengiriman email pemerasan, hingga pencantuman nama korban di portal kebocoran ransomware Chaos, fakta di lapangan menunjukkan hal lain. Peretas rupanya menggunakan infrastruktur dan teknik yang sangat identik dengan operasi MuddyWater.

Para peneliti keamanan dari Rapid7 meyakini bahwa komponen ransomware ini kemungkinan besar hanya digunakan untuk menutupi operasi spionase siber yang sebenarnya, sekaligus untuk menyulitkan proses atribusi (identifikasi pelaku).

“Strategi ini menyoroti konvergensi antara aktivitas intrusi yang disponsori negara dan keahlian kriminal, di mana ‘tanda’ besar terletak pada teknik yang disebarkan – dan yang tidak,” urai pihak Rapid7. “Strategi ini menunjukkan bahwa tujuan utama (mereka) bukanlah keuntungan finansial.”

Atribusi Serangan ke Intelijen Iran

Meskipun menggunakan penyamaran yang cerdik, Rapid7 memiliki keyakinan tingkat menengah dalam mengatribusikan insiden ini kepada MuddyWater—kelompok ancaman yang juga beroperasi dengan alias Static Kitten, Mango Sandstorm, dan Seedworm.

Kesimpulan ini ditarik berdasarkan sejumlah temuan penting:

  • Adanya tumpang tindih infrastruktur jaringan.
  • Penggunaan sertifikat penandatanganan kode spesifik yang kerap digunakan oleh grup yang disponsori negara ini untuk menandatangani malware Stagecomp dan Darkcomp.
  • Kemiripan pada berbagai rekam jejak operasional.

Sebagai catatan, MuddyWater adalah kelompok spionase siber yang disponsori oleh negara Iran, yang terkenal dengan kampanye intrusi jaringan berjangka panjang yang sejalan dengan Kementerian Intelijen dan Keamanan (MOIS) negara tersebut.

Sementara itu, Chaos pada dasarnya adalah operasi Ransomware-as-a-Service (RaaS) yang muncul pada tahun 2025 dan dikenal dengan taktik pemburuan “mangsa besar”, pemerasan ganda, serta kampanye rekayasa sosial yang sebagian besar menargetkan organisasi di Amerika Serikat.

Progresi dan Alur Serangan

Intrusi yang dianalisis oleh Rapid7 menunjukkan alur peretasan yang terstruktur dengan rapi:

  • Rekayasa Sosial Microsoft Teams: Serangan dimulai dengan peretas memulai obrolan dengan karyawan perusahaan melalui Microsoft Teams. Mereka kemudian membuat sesi berbagi layar (screen-sharing), memanen kredensial, memanipulasi pengaturan autentikasi multi-faktor (MFA), dan dalam beberapa kasus, secara diam-diam menyebarkan perangkat lunak AnyDesk untuk akses jarak jauh.
  • Pencurian Kredensial: Data masuk korban dicuri baik melalui halaman phishing yang menyamar sebagai layanan Microsoft Quick Assist, atau dengan mengelabui korban agar mengetikkan kata sandi mereka secara manual ke dalam file teks lokal.
  • Akses dan Persistensi: Setelah berhasil mengkompromikan akun, peretas mengautentikasi sistem internal target (termasuk pengontrol domain) dan membangun persistensi menggunakan protokol RDP, DWAgent, dan AnyDesk.
  • Penyebaran Backdoor Kustom: Penyerang kemudian memanfaatkan pemuat malware (ms_upd.exe) untuk melepaskan pintu belakang (backdoor) kustom bernama Game.exe, yang disamarkan secara cerdik sebagai aplikasi Microsoft WebView2.

Malware backdoor ini dilengkapi dengan pemeriksaan anti-analisis dan anti-VM untuk menghindari deteksi keamanan, serta mendukung 12 perintah jarak jauh, termasuk eksekusi perintah PowerShell dan CMD, pengunggahan dan penghapusan file, serta akses shell persisten.

Rapid7 mencatat bahwa MuddyWater juga pernah menggunakan ransomware di masa lalu untuk menutupi operasi spionase siber mereka. Pada akhir tahun 2025, aktor ancaman ini diketahui menyebarkan ransomware Qilin dalam sebuah serangan terhadap organisasi di Israel. Para peneliti menduga bahwa grup peretas ini mungkin sengaja beralih ke merek ransomware yang berbeda setelah operasi tahun 2025 tersebut berhasil diungkap dan diatribusikan ke operasi MOIS.

Sumber: Rapid7

Tags
45 minutes ago
4 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button