Peretas Tiongkok Deploy Malware Baru ‘Atlas RAT’ dalam Serangan Siber di Eropa

Kelompok kejahatan siber berbahasa Mandarin dilaporkan telah memperluas jangkauan operasi peretasan mereka ke wilayah Eropa. Dalam kampanye terbaru ini, sindikat tersebut menyebarkan varian malware yang belum pernah terdokumentasikan sebelumnya, termasuk sebuah pintu belakang (backdoor) berbahaya yang dinamakan Atlas RAT.

Aktor ancaman siber yang dilacak dengan kode TA4922 ini diidentifikasi sebagai kelompok kriminal yang bermotif finansial. Tujuan utama dari serangan mereka adalah membobol jaringan target demi melancarkan aksi penipuan, pencurian data sensitif, hingga memperjualbelikan akses ilegal ke jaringan korban kepada pihak lain.

Ekspansi Geografis dan Peningkatan Intensitas Serangan

Pada rekam jejak sebelumnya, kelompok TA4922 lebih sering meluncurkan serangan dengan target organisasi di kawasan Asia Timur. Kendati demikian, laporan investigasi terbaru menunjukkan adanya pergeseran target yang agresif ke arah entitas di Jerman, Italia, Inggris, serta Afrika Selatan.

Para peneliti di firma keamanan siber Proofpoint mencatat bahwa aktivitas TA4922 memiliki beberapa kemiripan operasional dengan kelompok peretas yang sebelumnya dilaporkan sebagai ‘Silver Fox’ dan ‘Void Arachne’. Meski demikian, kluster aktivitas mereka tetap dilacak secara terpisah karena karakteristik TA4922 dinilai jauh lebih konsisten dengan aktivitas kriminal murni untuk keuntungan finansial, alih-alih spionase politik antarnegara.

Sejak Maret lalu, aktivitas serangan TA4922 dilaporkan mengalami lonjakan yang sangat tajam. Memasuki bulan April, kelompok ini menunjukkan diversifikasi operasional serta tempo serangan tinggi yang belum pernah terjadi sebelumnya. Berdasarkan data ancaman terupdate, TA4922 saat ini mengoperasikan lebih banyak kampanye serangan unik dibandingkan dengan kelompok kriminal siber lainnya. Meskipun motif utamanya adalah uang, kapabilitas malware yang mereka gunakan memiliki potensi pengawasan (surveillance) tingkat tinggi yang sewaktu-waktu dapat dimanfaatkan atau dijual kepada kelompok spionase.

Untuk menjaring korban, penyerang memanfaatkan umpan phising lokal (localized phishing lures) yang dirancang sangat rapi agar menyerupai dokumen resmi, seperti:

• Pemberitahuan slip gaji (payroll notices).
• Dokumen audit pajak dan pelaporan PPN.
• Surat kepatuhan regulasi pemerintah.
• Faktur tagihan (invoices).
• Komunikasi internal divisi sumber daya manusia (HRD).

Selain mengandalkan surat elektronik (email), kelompok kriminal ini juga meluncurkan taktik pendekatan langsung dengan mencoba menghubungi para korban secara personal melalui platform pesan instan seperti WhatsApp, LINE, dan Microsoft Teams.

Kapabilitas Teknis Atlas RAT dan Loader Kustom

Dari sisi persenjataan digital, TA4922 tercatat telah memperluas gudang senjata malware mereka secara masif. Tim peneliti meyakini bahwa para peretas ini kemungkinan besar telah memanfaatkan teknologi model bahasa besar (LLM) atau kecerdasan buatan (AI) generatif untuk mempercepat proses penulisan kode malware. Kesimpulan tersebut diambil setelah ditemukannya banyak nilai penampung (placeholder values), komentar di dalam baris kode, serta pola struktural yang umumnya diasosiasikan dengan kode hasil ciptaan AI.

Fokus utama dalam serangan ini adalah Atlas RAT, sebuah trojan akses jarak jauh (Remote Access Trojan) yang baru saja diidentifikasi. Di atas kertas, malware ini membekali operator peretas dengan serangkaian kemampuan mata-mata yang sangat berbahaya, meliputi:

• Pengintaian spesifikasi sistem korban (system reconnaissance).
• Pencurian file target secara spesifik.
• Pengunduhan komponen plugin dan muatan (payload) tambahan.
• Perekaman setiap ketukan papan tik (keylogging).
• Pengambilan gambar tangkapan layar (screenshot).
• Perekaman audio lingkungan dan kamera web (webcam).
• Eksekusi perintah matikan paksa atau muat ulang sistem (shutdown/reboot).

Untuk menghindari deteksi oleh tim analis keamanan, Atlas RAT dilengkapi dengan beberapa fitur anti-sandbox dan anti-analisis. Malware ini akan memindai sistem untuk mencari nama pengguna atau kunci registri yang berkaitan dengan sistem pertahanan Microsoft Defender Application Guard, layanan “CExecSvc”, serta UUID sistem operasi. Jika komponen pertahanan tersebut terdeteksi, malware akan memilih untuk tidak aktif demi menghindari analisis forensik.

Integrasi RomulusLoader dan Alat Manajemen Jarak Jauh

Selain Atlas RAT, tim peneliti juga menemukan modul loader baru bernama RomulusLoader. Komponen ini bertugas mengunduh dan mengeksekusi payload tambahan di dalam memori komputer korban dengan menggunakan teknik manipulasi proses (process hollowing), injeksi shellcode, serta eksekusi langsung.

Secara cerdik, RomulusLoader digunakan untuk meluncurkan alat manajemen jarak jauh resmi (legitimate remote management tools) seperti AnyDesk serta SyncFuture—sebuah perangkat lunak pemantauan jarak jauh yang sangat populer di Tiongkok. Implementasi software SyncFuture ini terdeteksi digunakan secara tidak biasa dalam serangan yang menargetkan entitas bisnis di Jerman.

Di sisi lain, Proofpoint mengidentifikasi loader berbasis bahasa pemrograman Python bernama SilentRunLoader yang berfungsi ganda sebagai pencuri data (information stealer). Malware ini dirancang khusus untuk menguras kredensial login, data cookies, serta riwayat penjelajahan dari peramban Google Chrome. Varian ini banyak disebarkan terhadap organisasi di Inggris dan Asia Tenggara dengan menyamar sebagai dokumen layanan pemerintah lokal.

Sebagai senjata pamungkas, kelompok peretas ini terpantau menyebarkan Winos4.0, sebuah keluarga malware lawas yang dilacak Proofpoint sebagai ValleyRAT. Penyeberangan lini malware ini melengkapi ekosistem serangan TA4922 yang bergerak sangat cepat dengan memanfaatkan multi-umpan demi menguasai kontrol penuh atas infrastruktur digital korbannya.

Sumber: Proofpoint Threat Research