Hacker Iran “MuddyWater” Bobol Raksasa Elektronik Korea Selatan dalam Kampanye Spionase Siber

Kelompok peretas yang terafiliasi dengan Iran, MuddyWater (juga dikenal sebagai Seedworm atau Static Kitten), dilaporkan telah melancarkan kampanye spionase siber berskala luas. Serangan ini menargetkan setidaknya sembilan organisasi tingkat tinggi di berbagai sektor lintas negara.

Target korban mereka mencakup produsen manufaktur industri di Asia, instansi pemerintah, bandara internasional di Timur Tengah, institusi pendidikan, hingga salah satu raksasa manufaktur elektronik Korea Selatan.

Operasi Seminggu Penuh di Perusahaan Korsel

Berdasarkan temuan dari Tim Threat Hunter Symantec, peretas MuddyWater berhasil menyusup dan bertahan selama satu minggu penuh (20 – 27 Februari 2026) di dalam jaringan produsen elektronik besar Korea Selatan yang tidak disebutkan namanya tersebut.

Motivasi utama serangan ini sangat kental dengan intelijen, yang meliputi:

• Pencurian kekayaan intelektual (IP) dan data industri.
• Spionase pemerintah.
• Membuka akses ke jaringan pelanggan (downstream customers) dari perusahaan yang diretas.

Ironi Keamanan: Membajak SentinelOne via DLL Sideloading

Taktik yang paling menonjol dari kampanye Seedworm kali ini adalah penggunaan teknik DLL Sideloading. Ini adalah metode di mana peretas menggunakan program sah yang memiliki sertifikat resmi (signed software) untuk memuat file DLL berbahaya.

Secara ironis, salah satu binary yang dibajak adalah komponen keamanan itu sendiri:

1. sentinelmemoryscanner.exe (Komponen sah dari SentinelOne).
2. fmapp.exe (Utilitas audio sah dari Fortemedia).

Melalui eksekusi program sah tersebut, penyerang memuat DLL berbahaya (sentinelagentcore.dll dan fmapp.dll) yang berisi ChromElevator—sebuah alat post-exploitation yang dirancang khusus untuk mencuri data dari peramban berbasis Chromium.

Taktik Siluman: PowerShell dan Layanan Berbagi File Publik

Selain alat baru, kelompok ini masih sangat bergantung pada PowerShell. Namun, untuk menghindari deteksi EDR, perintah PowerShell kini dikendalikan melalui loader Node.js.

Dalam fase pencurian data (exfiltration) di perusahaan Korsel tersebut, MuddyWater tidak menggunakan server Command and Control (C2) konvensional yang mencurigakan. Sebaliknya, mereka memanfaatkan sendit.sh, sebuah layanan berbagi file publik. Taktik ini sangat cerdik karena lalu lintas data yang keluar akan terlihat seperti aktivitas internet normal oleh firewall.

Symantec mencatat bahwa kampanye terbaru ini menandai peningkatan kematangan operasional MuddyWater, pergeseran target geografis, dan transisi menuju serangan yang jauh lebih senyap (quieter attacks).