Security

Kelompok APT Tiongkok Kerahkan Malware Baru “Plenet” dan “AgentPSD” demi Jaga Akses Jaringan Korban

2 minutes ago
2 minutes read

Kelompok peretas spionase negara (state-sponsored espionage group) asal Tiongkok yang dilacak dengan nama UNC5221 (juga dikenal sebagai VerdantBamboo) dilaporkan berhasil menyusup ke lingkungan Microsoft 365 milik korbannya. Tidak tanggung-tanggung, aksi penyusupan ini telah berlangsung selama 18 bulan sebelum akhirnya terdeteksi.

Untuk mempertahankan keberadaannya di dalam jaringan target secara jangka panjang (persistence mechanism), kelompok penyerang ini memanfaatkan pintu belakang (backdoor) canggih bertajuk Brickstorm, serta dua varian malware kustom baru yang sebelumnya belum pernah terdokumentasikan bernama Plenet dan AgentPSD.

Kronologi Insiden: Korban Diretas Dua Kali Lewat Jalur MSP

Berdasarkan laporan investigasi dari perusahaan keamanan siber Volexity, VerdantBamboo menunjukkan tingkat persistensi dan kegigihan yang luar biasa dalam menyerang targetnya:

  1. Intrusi Pertama: Peretas awalnya menyusup ke sistem peralatan Egnyte Storage Sync milik korban dan mengaksesnya secara berkala melalui VPN SSL web menggunakan kredensial yang dicuri. Melalui pijakan ini, mereka memanfaatkan fitur proksi dari backdoor Brickstorm untuk masuk ke lingkungan Microsoft 365 organisasi. Taktik ini sengaja dipilih agar aktivitas ilegal mereka membaur dengan lalu lintas jaringan yang sah, sekaligus mengelabui kebijakan Conditional Access pada sistem keamanan korban.
  2. Peretasan Ulang Pasca-Remediasi: Setelah tim peneliti Volexity selesai melakukan pembersihan jaringan (remediation), kelompok peretas ini ternyata berhasil masuk kembali untuk kedua kalinya. Mereka menggunakan kredensial curian baru untuk mengonfigurasi ulang akses VPN SSL pada firewall korban dan menanamkan malware tambahan ke perangkat NAS Synology.
  3. Penyusupan Melalui Pihak Ketiga (MSP): Penyelidikan lebih lanjut mengungkap bahwa peretas juga membobol perusahaan penyedia layanan TI terkelola (Managed Services Provider / MSP) yang mengurus organisasi korban. Volexity menemukan bahwa VerdantBamboo telah menanamkan Brickstorm varian BSD pada firewall pfSense milik MSP tersebut sejak 18 bulan lalu, yang kemudian diduga kuat menjadi jembatan lompatan (pivot) untuk meretas kembali ke jaringan organisasi korban.

Mengenal Karakteristik Backdoor Brickstorm, Plenet, dan AgentPSD

Kelompok UNC5221 dikenal sangat ahli dalam menargetkan sistem-sistem jaringan yang umumnya tidak mendukung instalasi solusi deteksi keamanan ujung tombak seperti EDR (Endpoint Detection and Response), seperti perangkat penyimpanan jaringan (NAS), appliance email, dan firewall.

Berikut adalah detail jajaran persenjataan malware yang mereka gunakan:

1. Brickstorm (Pintu Belakang Utama)

Peneliti menggambarkan Brickstorm sebagai implan malware tingkat lanjut (advanced malware implant). Varian awal malware ini ditulis menggunakan bahasa pemrograman Golang, namun versi terbarunya telah berevolusi menggunakan bahasa Rust untuk menghindari deteksi sistem antivirus. CISA sebelumnya sempat memperingatkan bahwa malware ini juga dikerahkan oleh peretas Tiongkok untuk membidik server VMware vSphere dan Dell RecoverPoint.

2. Plenet / Grimbolt (Pintu Belakang Baru)

Dikenal juga dengan nama “Grimbolt” oleh tim peneliti Google, Plenet adalah backdoor lintas platform berbasis .NET. Malware ini menawarkan fitur yang sangat berbahaya bagi korbannya, meliputi:

  • Akses interactive shell jarak jauh.
  • Eksekusi perintah kontrol (remote command execution).
  • Manipulasi dan pencurian file.
  • Kemampuan untuk beralih server perintah (C2 server switching) secara dinamis.
  • Menggunakan protokol WebSocket untuk komunikasi enkripsi ke server C2 penyerang.

3. AgentPSD (Jalur Cadangan)

AgentPSD adalah utilitas reverse shell sederhana berbasis bahasa pemrograman Python. Peneliti Volexity menilai bahwa AgentPSD sengaja disiapkan oleh VerdantBamboo sebagai mekanisme pertahanan cadangan (fallback persistence). Jika akses utama melalui Brickstorm atau Plenet berhasil diblokir oleh tim siber, AgentPSD—yang dikonfigurasi ke domain C2 yang sepenuhnya berbeda—akan diaktifkan untuk membuka kembali pintu masuk peretas.

Peretas Menghapus Jejak Setelah Ketahuan

Selama proses investigasi berlangsung, tim Volexity sempat berhasil membuat pola sidik jari (fingerprint) digital untuk mengidentifikasi alamat IP dan domain yang digunakan oleh server C2 Brickstorm.

Namun, tampaknya kelompok peretas menyadari bahwa operasi mereka sedang diintai dan dianalisis oleh peneliti (bertepatan dengan publikasi laporan baru dari Google mengenai aktivitas Brickstorm). Antara tanggal 18 hingga 23 September, seluruh infrastruktur server penyerang yang cocok dengan pola tersebut langsung mematikan layanannya pada port 443 dan seketika menjadi offline demi memutus rantai pelacakan digital.

Sumber: Laporan Investigasi Ancaman Volexity / Google Threat Intelligence Group

Tags
2 minutes ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button