Operasi Endgame: Polisi Bersihkan 15.000 Situs Terinfeksi SocGholish Besutan Evil Corp
Dalam sebuah operasi siber internasional berskala masif yang didukung oleh Europol dan Eurojust, aparat penegak hukum lintas negara berhasil membersihkan hampir 15.000 situs web berbasis WordPress yang terinfeksi malware dan melumpuhkan lebih dari 100 server yang menjadi tulang punggung jaringan botnet SocGholish.
Tindakan represif siber ini dikemas di bawah bendera Operation Endgame, sebuah operasi global terpadu yang kini difokuskan untuk memutus rantai infeksi utama yang dikendalikan oleh kelompok kriminal siber legendaris asal Rusia, Evil Corp.
Kolaborasi Multinasional Melumpuhkan 106 Server dan Domain
Operasi pembersihan dan penindakan ini digerakkan secara serentak oleh kolaborasi unit siber dari empat negara, yaitu Unit Kejahatan Teknologi Tinggi Nasional Belanda (NHCTU), Kepolisian Kerajaan Kanada (RCMP), Biro Investigasi Federal AS (FBI), dan Polisi Kriminal Federal Jerman (BKA).
Secara akumulatif, hasil dari operasi taktis tersebut meliputi:
- Pembersihan Massal: Menghapus skrip jahat dan backdoor dari 14.971 situs WordPress milik warga, perusahaan, dan organisasi yang sebelumnya telah diretas.
- Penyitaan Infrastruktur: Merobohkan dan mematikan (take down) 106 server dan nama domain aktif yang digunakan peretas sebagai pusat komando taktis.
[ Korban Mengunjungi Situs WordPress yang Diretas ]
│
▼ (Skrip JavaScript SocGholish Aktif)
[ Jendela Sembul Palsu: "Pembaruan Browser Diperlukan!" ]
│
▼ (Korban Mengunduh Berkas Pembaruan Palsu)
[ Eksekusi Payload Jahat ] ──► Pintu Samping (Backdoor) Terbuka ke Server Evil Corp
Anatomi Malware SocGholish (FakeUpdates)
SocGholish (yang juga dilacak oleh industri siber dengan nama FakeUpdates atau GhoLoader) merupakan malware pengunduh (downloader) berbasis JavaScript yang telah aktif beroperasi sejak tahun 2017.
Cara kerja malware ini sangat manipulatif:
- Pembajakan Situs Resmi: Peretas menyusup ke situs-situs WordPress yang tidak terawat atau memiliki celah keamanan, lalu menanamkan kode JavaScript berbahaya di dalamnya.
- Rekayasa Sosial (Social Engineering): Ketika pengguna internet biasa mengunjungi situs tersebut, malware akan memunculkan jendela peringatan palsu yang mengeklaim bahwa browser pengguna (seperti Chrome, Firefox, atau Edge) sudah usang dan wajib memperbarui sistem (fake browser updates).
- Penyusupan Payload: Jika korban terkecoh dan menginstal file pembaruan palsu tersebut, sebuah koneksi siber rahasia akan terbuka, memberikan akses kendali penuh bagi peretas ke dalam komputer korban.
Dalam banyak kasus, SocGholish bertindak sebagai “pembuka pintu” komersial. Setelah berhasil menguasai komputer korban, Evil Corp akan menjual akses tersebut atau menggunakannya sendiri untuk menjatuhkan varian malware dan ransomware ganas lainnya seperti Dridex, Doppelpaymer, Empire, Koadic, Chtonic, Azorult, WastedLocker, hingga Phoenix CryptoLocker.
Rekam Jejak Sukses “Operation Endgame”
Kelompok Evil Corp sendiri telah menjadi buronan siber global sejak aktif pada tahun 2007, terkenal lewat pembuatan malware perbankan legendaris Zeus. Intervensi dari Operation Endgame kali ini dinilai sangat vital untuk melumpuhkan pundi-pundi pendapatan mereka.
Sebelum keberhasilan melumpuhkan SocGholish, rantai operasi Operation Endgame telah mencatatkan berbagai torehan besar dalam menggulung infrastruktur siber ilegal dunia:
| Periode Waktu Eksekusi | Target Operasi Botnet / Malware | Hasil Penindakan Hukum |
| November (Fase Sebelumnya) | Rhadamanthys, VenomRAT, dan Elysium Botnet | Melumpuhkan lebih dari 1.000 server penyerang. |
| Operasi Berjalan (Rangkaian Ekstrem) | DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee, SystemBC | Penyitaan server, pemblokiran domain, penutupan situs penilai antivirus AVCheck, serta penangkapan aktor siber terkait. |
Panduan Penyelamatan bagi Pemilik Situs WordPress
Pihak Kepolisian Belanda menegaskan bahwa pembersihan dari sisi luar oleh aparat tidak menjamin situs tersebut terbebas dari serangan di masa depan jika celah utamanya belum ditambal.
Bagi para pemilik situs web berbasis WordPress di seluruh dunia, administrator sangat disarankan untuk segera menjalankan protokol keamanan darurat berikut:
- Rotasi Kredensial Total: Segera ganti kata sandi (passwords) untuk akun administrator WordPress, akun panel hosting (cPanel), akun FTP/SFTP, serta kata sandi database.
- Aktifkan Autentikasi Ganda (MFA): Pasang dan wajibkan penggunaan fitur Multi-Factor Authentication untuk setiap akses masuk ke panel dasbor admin.
- Audit Daftar Pengguna (Users Roll): Masuk ke menu Users di WordPress, periksa dengan teliti, dan segera hapus jika menemukan adanya akun administrator asing atau tidak dikenal yang dibuat secara siluman oleh peretas.
- Pembaruan Sistem Berkala: Pastikan core sistem WordPress, tema (themes), serta seluruh plugin yang terpasang selalu diperbarui ke versi paling mutakhir guna menutup celah kerentanan lama yang sering dieksploitasi oleh botnet SocGholish.
Sumber: Netherlands National High Tech Crime Unit (NHCTU) & Europol Cybercrime Press Release
