Artikel Terbaru

Awas! Tawaran Kerja WhatsApp Jadi Modus Serangan Siber Terbaru

Ilustrasi Whatsapp Web

Ilustrasi Whatsapp Web

Industri manufaktur selama ini dikenal sebagai salah satu sektor paling kritis di dunia yang mengandalkan mesin canggih, otomatisasi, serta jaringan digital yang terhubung ke berbagai lokasi produksi global. Namun seiring perkembangan teknologi, ancaman terhadap industri ini juga semakin kompleks. Tidak hanya dari pencurian desain produk atau sabotase proses manufaktur, tetapi juga dari serangan siber yang menggunakan teknik rekayasa sosial tingkat tinggi.

Salah satu serangan terbaru yang menyita perhatian komunitas keamanan global adalah Operation DreamJob yaitu sebuah kampanye intrusi yang menargetkan karyawan perusahaan manufaktur melalui pesan WhatsApp Web bertema lowongan kerja. Serangan ini berhasil menembus lapisan keamanan perusahaan besar Eropa dan mengeksekusi aksi mata-mata siber yang sangat terstruktur.

 
Awal Mula Serangan: Tawaran Kerja Palsu yang Terlihat Meyakinkan

Serangan ini dimulai pada Agustus 2025 ketika seorang project engineer di anak perusahaan manufaktur di Asia menerima pesan WhatsApp Web dari seseorang yang terlihat profesional. Pesan tersebut berisi dokumen lowongan pekerjaan dengan jabatan tinggi dan imbalan menarik. Sekilas, tidak ada yang mencurigakan — desain dokumen rapi, bahasa formal, dan nama perusahaan terlihat nyata.

Korban kemudian diminta mengunduh arsip ZIP yang diklaim berisi deskripsi pekerjaan. Di dalamnya terdapat tiga komponen:

  • File PDF berisi deskripsi pekerjaan (berbahaya)
  • Aplikasi pembaca dokumen SumatraPDF.exe (asli dan sah)
  • File libmupdf.dll (DLL berbahaya)

Ketika korban mengekstrak arsip ZIP, semua file terlihat normal. Tidak ada alarm antivirus. SumatraPDF adalah aplikasi open source yang sangat dikenal, sehingga keberadaannya semakin memperkuat keyakinan bahwa file tersebut aman.

Namun di sinilah letak jebakannya.

Pelaku memanfaatkan teknik DLL sideloading, yaitu cara memaksa aplikasi yang sah untuk memuat file DLL berbahaya tanpa disadari. Ketika korban membuka PDF menggunakan SumatraPDF.exe, aplikasi tersebut otomatis memuat libmupdf.dll, dan malware pun aktif tanpa menimbulkan kecurigaan.

 
Analisis Investigasi: Pelaku Tak Asal-asalan

Setelah insiden terdeteksi, tim dari Orange Cyberdefense melakukan investigasi mendalam. Berdasarkan hasil analisis, serangan ini dikaitkan dengan kelompok ancaman siber UNC2970 yang berbasis di Korea Utara — kelompok yang dikenal dengan operasi spionase digital dan kampanye cyber espionage bertarget.

Temuan investigasi menunjukkan:

  • Malware BURNBOOK dan MISTPEN dilibatkan dalam operasi
  • Komunikasi malware diarahkan ke infrastruktur SharePoint dan WordPress yang telah diretas sebagai server command and control (C2)
  • Pelaku berhasil mempertahankan akses selama enam jam berturut-turut tanpa terdeteksi

Para pelaku menjalankan aktivitas secara manual — bukan sekadar malware otomatis. Artinya, mereka berinteraksi langsung dengan sistem korban, mengontrol proses serangan dengan teliti.

 
Tahap Lanjutan: Kontrol Mendalam dan Pergerakan Lateral di Jaringan

Setelah mendapatkan akses, pelaku tidak berhenti pada satu perangkat. Mereka bergerak lebih dalam ke jaringan perusahaan untuk mendapatkan kendali yang lebih luas.

Berikut beberapa teknik yang digunakan:

  • Query LDAP ke Active Directory
    Pelaku memetakan daftar pengguna, grup, komputer, dan izin jaringan untuk mempersiapkan pergerakan lateral.
  • Pengambilalihan akun admin dan backup
    Dengan teknik pass-the-hash, pelaku menggunakan hash NTLM untuk melakukan autentikasi tanpa perlu mengetahui password asli — teknik yang sering digunakan dalam serangan tingkat lanjut.
  • Payload tambahan TSVIPsrv.dll
    File ini merupakan varian malware MISTPEN yang bertugas membuka koneksi ke server perintah dan kontrol sambil tetap menghindari deteksi.

Selama proses, pelaku menjalankan malware langsung di memori (in-memory execution), sebuah teknik yang membuat jejak digital sulit terdeteksi oleh antivirus tradisional.

 
Tahap Akhir: Pencurian Data Sensitif

Setelah mendapatkan kendali penuh, pelaku memasuki tahap akhir: eksfiltrasi data.

Malware Release_PvPlugin_x64.dll dipasang di sistem korban untuk mencari, mengumpulkan, dan mengirim data bernilai tinggi ke server pelaku. Jenis data yang dicari termasuk:

  • denah desain dan rencana produksi
  • dokumen internal strategis
  • daftar pelanggan atau mitra
  • kredensial akun untuk akses tambahan

Eksfiltrasi dilakukan secara bertahap untuk menghindari deteksi oleh firewall atau sistem monitoring jaringan.

 
Mengapa Serangan Ini Berbahaya?

Operation DreamJob menjadi peringatan keras bagi industri manufaktur karena:

  • Pelaku tidak lagi hanya menargetkan sistem, tetapi manusia
    Tawaran pekerjaan palsu adalah metode yang sangat efektif bagi karyawan yang sedang mempertimbangkan peluang baru.
  • Platform populer seperti WhatsApp kini menjadi medium penyebaran malware
    Banyak karyawan mungkin merasa aplikasi chatting pribadi jauh dari ancaman cyber, padahal risiko semakin meningkat.
  • Malware yang digunakan bersifat canggih dan didesain untuk bertahan lama

Dengan command-and-control terdistribusi, pelaku dapat mempertahankan akses tanpa mudah dilacak.

 
Pelajaran Penting untuk Industri Manufaktur

Dari insiden ini, ada beberapa hal yang harus menjadi perhatian perusahaan:

  • Keamanan siber bukan hanya masalah teknologi, tetapi juga kesadaran manusia
  • Pelatihan deteksi phishing dan rekayasa sosial harus diperbarui secara rutin
  • Sistem monitoring harus mampu mendeteksi aktivitas tidak wajar, bukan hanya file berbahaya
  • Penggunaan platform komunikasi personal di lingkungan kerja harus mendapatkan kebijakan yang jelas

Industri manufaktur kini menjadi sasaran utama, bukan hanya karena nilai ekonominya tinggi, tetapi juga karena kerentanan pada supply chain global.

Operation DreamJob bukan hanya serangan siber biasa, serangan ini adalah bentuk baru dari cyber espionage yang memanfaatkan psikologi manusia dan teknologi sekaligus. Dengan memanfaatkan WhatsApp Web dan rekayasa sosial bertema lowongan kerja, pelaku dapat menembus jaringan perusahaan besar tanpa perlawanan berarti.

Serangan ini menjadi pengingat bahwa:

🔸 Karyawan adalah garis pertahanan pertama keamanan siber
🔸 Ketelitian terhadap pesan dan file yang diterima sangat penting
🔸 Serangan siber kini semakin personal, kreatif, dan sulit diidentifikasi

Jika industri manufaktur ingin bertahan di era digital, peningkatan kesadaran karyawan dan sistem pertahanan jaringan harus berjalan seiring — karena ancaman seperti Operation DreamJob jelas tidak akan menjadi yang terakhir.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait