Aksi Mata-Mata Siber: Peretas Tiongkok Susupi Server REDCap, Kuras Data Riset Medis Amerika Utara
Tim peneliti dari Google Threat Intelligence Group (GTIG) baru saja membongkar kampanye spionase siber berskala besar yang didukung oleh pemerintah Tiongkok. Kelompok peretas yang diidentifikasi dengan nama UNC6508 dilaporkan berhasil membobol jaringan lembaga penelitian medis di Amerika Utara dengan menargetkan kerentanan pada server REDCap.
Aksi penyusupan ini berjalan sangat senyap dan terorganisir, di mana para pelaku berhasil mempertahankan posisi mereka di dalam jaringan korban selama lebih dari satu tahun tanpa terdeteksi.
Eksploitasi Versi Lama dan Penanaman Malware “InfiniteRed”
Sebagai informasi, REDCap (Research Electronic Data Capture) adalah platform aplikasi web yang sangat populer di dunia medis dan ilmiah untuk membangun serta mengelola basis data riset dan survei daring secara aman sesuai regulasi kesehatan.
Berdasarkan hasil investigasi forensik digital, kronologi serangan berjalan dalam lini masa berikut:
- Kompromi Awal (September 2023): Peretas masuk ke sistem dengan memindai dan mengeksploitasi server REDCap yang masih menjalankan versi lawas yang memiliki celah keamanan.
- Penyusupan Malware (Desember 2023): Tiga bulan setelah berhasil masuk, UNC6508 menanamkan malware kustom bernama InfiniteRed yang dirancang khusus untuk memanipulasi arsitektur internal REDCap. Guna mengelabui deteksi antivirus, komponen malware disisipkan langsung ke dalam file sistem server asli (trojanized system files).
┌────────────────────────────────────────────────────────┐
│ KOMPONEN MALWARE INFINITERED │
├────────────────────────────────────────────────────────┤
│ 1. Modul Persistensi ──► Menjaga malware tetap aktif │
│ 2. Perekam Kredensial──► Mencuri username & password │
│ 3. Pintu Belakang ──► Eksekusi perintah via Cookies │
└────────────────────────────────────────────────────────┘
Modul perekam kredensial bertugas merekam setiap username dan password yang diketik pengguna di halaman login REDCap, lalu menyimpannya dalam bentuk enkripsi di tabel basis data lokal. Sementara itu, komponen backdoor (pintu belakang) dikendalikan peretas memanfaatkan data HTTP cookies untuk mengeksekusi perintah shell, mengunduh/mengunggah dokumen riset, hingga menjalankan kueri SQL secara bebas.
Taktik Baru: Membajak Fitur “Content Compliance” untuk Eksfiltrasi Data
Salah satu temuan paling mengejutkan dari investigasi Google adalah taktik baru yang belum pernah digunakan oleh kelompok peretas Tiongkok sebelumnya. Setelah berhasil mendapatkan hak akses administrator tertinggi, UNC6508 membajak fitur Content Compliance Rules (aturan kepatuhan konten) yang ada di alat produktivitas berbasis cloud milik lembaga tersebut.
Mereka membuat aturan kepatuhan palsu yang diberi nama “Patroit”. Aturan ini secara otomatis memindai seluruh lalu lintas surel (e-mail) organisasi berdasarkan kata kunci, pola konten, alamat email, dan nomor telepon tertentu.
Setiap kali sistem menemukan email yang cocok dengan kriteria tersebut, sistem akan otomatis mengirimkan salinan tersembunyi lewat fitur BCC (Blind Carbon Copy) ke alamat Gmail pelaku, yaitu [email protected] (saat ini akun tersebut telah diblokir dan dinonaktifkan oleh Google).
| Kategori Target | Sampel Kata Kunci yang Diincar Peretas |
| Riset Medis | Penemuan molekuler (molecular discovery), uji klinis obat (clinical drug trials), data genetika. |
| Kebijakan & Militer | Kebijakan kesehatan publik tingkat negara bagian, kesiapan medis militer (military readiness), teknologi canggih. |
Keamanan Operasional Tingkat Tinggi
Google mencatat bahwa kelompok UNC6508 menerapkan tingkat keamanan operasional (operational security / OpSec) yang sangat tinggi untuk menyembunyikan jejak mereka selama periode September 2023 hingga November 2025.
Mereka memanfaatkan infrastruktur proksi perumahan (residential proxy) berbasis di AS, perute (router) rumahan yang telah diretas, server VPS sewaan, serta infrastruktur khusus untuk jalur keluar data agar aktivitas internet mereka terlihat seperti lalu lintas pengguna domestik biasa.
Panduan Mitigasi bagi Administrator REDCap
Google mengonfirmasi telah mengirimkan notifikasi darurat kepada sejumlah organisasi dan universitas yang menjadi korban di Amerika Serikat dan Kanada. Guna mengamankan ekosistem riset, para administrator REDCap sangat disarankan untuk melakukan langkah-langkah berikut:
- Pembaruan Segera: Segera lakukan pembaruan (upgrade) platform REDCap ke versi paling baru dan hapus seluruh sasis sistem warisan (legacy deployments) yang sudah tidak terpakai.
- Aktifkan MFA: Terapkan Otentikasi Dua Langkah (MFA/2SV) yang ketat pada seluruh akun, terutama yang memiliki hak akses tingkat tinggi (Administrator).
- Implementasikan DBSC: Gunakan fitur Device Bound Session Credentials (DBSC) untuk mencegah risiko pembajakan sesi kuki (session hijacking).
Tim keamanan juga dapat memanfaatkan aturan pemindai YARA serta indikator kompromi (Indicators of Compromise / IoCs) yang telah disediakan dalam laporan resmi Google untuk memeriksa apakah server mereka telah terinfeksi malware InfiniteRed atau tidak.
Sumber: Google Threat Intelligence Group (GTIG) Cyber Espionage Report
