Malware Lintas Platform KTLVdoor Serang Perusahaan Tiongkok!

Aktivitas aktor ancaman asal Tiongkok, Earth Lusca, telah terdeteksi menggunakan backdoor baru bernama KTLVdoor dalam serangan siber yang menargetkan sebuah perusahaan perdagangan yang dirahasiakan di Tiongkok.

Malware ini, yang belum pernah dilaporkan sebelumnya, ditulis dalam bahasa Golang, terkenal dengan efisiensi dan kemampuannya di lintas platform. Dengan sifat lintas platform ini, KTLVdoor menjadi senjata yang sangat fleksibel, dapat menargetkan berbagai sistem operasi seperti Microsoft Windows dan Linux.

Keunggulannya adalah memberi pelaku serangan keuntungan besar untuk memperluas cakupan serangan dan menghindari deteksi lebih mudah. Golang, yang dilengkapi dengan sistem pengelolaan memori yang canggih serta dukungan pengembangan paralel, memungkinkan malware ini berjalan tanpa meninggalkan jejak yang mencolok. Kehadiran KTLVdoor di ranah ancaman siber tidak hanya menunjukkan evolusi teknik pengembangan malware, tetapi juga mengindikasikan bahwa perangkat lunak modern bisa dimanfaatkan untuk tujuan jahat. Dengan kemampuannya menyamar sebagai utilitas sistem, KTLVdoor memperluas cakupan serangan Earth Lusca dan menambah kompleksitas pertahanan yang dihadapi target.

"KTLVdoor adalah malware dengan obfuscation tinggi yang menyamar sebagai berbagai utilitas sistem. Hal ini memungkinkan penyerang melakukan berbagai aktivitas, seperti manipulasi file, eksekusi perintah, dan pemindaian port jarak jauh," jelas peneliti dari Trend Micro, Cedric Pernet dan Jaromir Horejsi, dalam analisis yang dipublikasikan Rabu lalu.

Beberapa alat yang dipakai oleh KTLVdoor termasuk sshd, Java, SQLite, bash, dan edr-agent, serta malware ini didistribusikan dalam dynamic-link library (.dll) or a shared object (.so).Aspek paling mencolok dari kegiatan ini adalah ditemukannya lebih dari 50 server Command and Control (C&C) yang semuanya di-host di perusahaan Tiongkok, Alibaba, dan berkomunikasi dengan varian malware tersebut, mengindikasikan keterlibatan aktor ancaman Tiongkok lainnya.

Earth Lusca telah aktif sejak 2021, melancarkan serangan siber terhadap entitas publik dan swasta di Asia, Australia, Eropa, dan Amerika Utara. Diperkirakan kelompok ini memiliki taktik yang tumpang tindih dengan grup lain seperti RedHotel dan APT27 (alias Budworm, Emissary Panda dan Iron Tiger).

KTLVdoor, tambahan terbaru dalam arsenal malware mereka, dirancang dengan tingkat obfuscation yang sangat tinggi, menjadikannya salah satu alat paling canggih dalam persenjataan mereka. Nama "KTLV" mengacu pada penanda spesifik dalam konfigurasi file-nya, yang mencakup berbagai parameter penting untuk menjalankan fungsinya, termasuk alamat server C&C yang perlu dihubungi.

Dengan algoritma canggih yang menambah kompleksitas, KTLVdoor mampu beradaptasi di berbagai sistem yang terinfeksi, menyembunyikan keberadaannya, serta memanipulasi dan mencuri data tanpa terdeteksi. Komunikasi rutin dengan server C&C memungkinkan penyerang memantau aktivitas host yang terkompromi dan menyesuaikan strategi mereka, membuatnya semakin sulit diidentifikasi oleh solusi keamanan.

Setelah diinisialisasi, malware ini mulai berkomunikasi dengan server C&C, menunggu instruksi untuk dieksekusi di host yang terinfeksi. Malware ini mendukung perintah untuk mengunduh atau mengunggah file, meluncurkan shell interaktif, mengeksekusi shellcode, dan melakukan pemindaian dengan ScanTCP, ScanRDP, DialTLS, ScanPing, dan ScanWeb, di antara lainnya.

Namun, masih banyak yang belum diketahui tentang bagaimana malware ini didistribusikan dan apakah entitas lain di seluruh dunia juga menjadi target.

"Alat baru ini digunakan oleh Earth Lusca, namun mungkin juga disebarkan oleh aktor ancaman Tiongkok lainnya," ujar para peneliti. "Mengamati bahwa semua server C&C berada di alamat IP dari Alibaba, penyedia berbasis Tiongkok, memunculkan pertanyaan apakah kemunculan malware baru ini dan server C&C mungkin merupakan fase awal pengujian alat baru."