Teknogav.com – Ancaman Persisten Tingkat Lanjut atau Advanced Persistent Threats (APT) ‘Mysterious Elephant’ melancarkan kampanye baru yang menjadikan entitas pemerintahan sebagai sasarannya. Tim Riset dan Analisis Global Kaspersky (GReAT) berhasil mengidentifikasi kampanye baru tersebut pada awal tahun 2025. APT ‘Mysterious Elephant’ melancarkan serangan pada entitas pemerintahan dan organisasi urusan luar negeri di Asia Pasifik. Negara-negara yang menjadi fokusnya mencakup Pakistan, Bangladesh, Afghanistan, Nepal, Sri Lanka dan lain-lain. 

Serangan tersebut bertujuan mencuri informasi yang sangat sensitif, termasuk dokumen, gambar, sampai file dengan data WhatsApp yang ditargetkan untuk dieksfiltrasi. Kampanye kelompok APT ‘Mysterious Elephant’ di tahun 2025 menandai perubahan taktik, teknik dan prosedur (TTP) mereka yang signifikan. Para penyerang beralih ke gabungan alat yang dibuat khusus dan sumber terbuka untuk mencapai tujuan mereka. Alat tersebut mencakup kit eksploitasi, email spear-phishing yang dipersonalisasi dan dokumen berbahaya. Setiap serangan disesuaikan untuk korban tertentu demi mendapatkan akses awal. Setelah berhasil masuk jaringan, berbagai alat dan teknik akan digunakan untuk meningkatkan hak istimewa. Serangan tersebut bergerak secara lateral, dan mengeksfiltrasi data sensitif.

Baca juga: Ngeri! Ancaman APT Incar Rahasia Negara dan Berkas Diplomatik

Landasan operasi Mysterious Elephant dibentuk dari Skrip PowerShell yang memungkinkan kelompok tersebut untuk melakukan hal-hal berikut ini:

• Mengeksekusi perintah
• Menyebarkan malware tambahan
• Mempertahankan persistensi pada sistem yang sudah disusupi

Alat dan utilitas sistem yang resmi digunakan skrip tersebut untuk melancarkan operasi berbahaya. Salah satu senjata kelompok tersebut adalah BabShell, suatu reverse shell yang memberikan akses langsung ke mesin yang terinfeksi. Setelah dieksekusi, alat ini mengumpulkan informasi sistem penting termasuk nama pengguna, nama komputer, dan alamat MAC untuk mengidentifikasi sasaran secara unik. BabShell juga berfungsi sebagai landasan peluncuran untuk modul-modul canggih seperti MemLoader HidenDesk, yang mengeksekusi muatan berbahaya di dalam memori sambil memanfaatkan enkripsi dan kompresi untuk menghindari deteksi.

Baca juga: Solusi Berbasis Intelijen Jadi Tips Kaspersky Tangkal APT dan Ransomware

Secara khusus, kampanye ini dikenal karena fokusnya pada pencurian data WhatsApp. Para penyerang telah mengembangkan modul khusus yang mampu mengekstrak file yang dibagikan melalui aplikasi, termasuk dokumen sensitif, foto, dan arsip. 

“Infrastruktur penyerang dibangun untuk kerahasiaan dan ketahanan, menggunakan jaringan domain dan alamat IP, rekaman DNS wildcard, VPS, dan hosting cloud. Rekaman DNS wildcard memungkinkan kelompok tersebut menghasilkan subdomain unik untuk setiap permintaan, meningkatkan skala operasi dengan cepat, dan mempersulit pelacakan oleh tim keamanan,” ucap Noushin Shabab, kepala peneliti keamanan di Kaspersky GReAT.

Risiko keberhasilan serangan dapat dikurangi dengan memahami TTP kelompok, berbagi intelijen ancaman, dan menerapkan langkah-langkah penanggulangan yang efektif. Upaya ini juga penting untuk melindungi informasi sensitif agar tidak jatuh ke tangan yang salah. Langkah-langkaj keamanan yang kuat harus diterapkan organisasi, termasuk pembaruan perangkat lunak secara berkala, pemantauan jaringan, dan pelatihan karyawan.

Baca juga: Paparkan Lanskap Ancaman Siber di Indonesia, Kaspersky Tekankan Pentingnya Pertahanan Siber

Tips Mitigasi dan Cegah Serangan APT

Kaspersky memberikan beberapa saran berikut bagi organisasi untuk memitigasi atau mencegah serangan serupa:

• Pastikan agen keamanan dikerahkan di semua stasiun kerja dalam organisasi tanpa terkecuali. Upaya ini penting untuk bisa mendeteksi insiden tepat waktu dan meminimalkan potensi kerusakan
• Tinjau dan kendalikan hak istimewa layanan dan akun pengguna. Hindari pemberian hak yang berlebihan, terutama untuk akun yang digunakan di beberapa host dalam infrastruktur
• Gunakan solusi untuk melindungi perusahaan daei berbagai ancaman. Salah satu produk yang dapat digunakan adalah dari lini produk Kaspersky Next. Solusi tersebut menyediakan perlindungan waktu nyata, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan berbagai skala dan industri. Tingkat produk dapat dipilih yang paling relevan dengan kebutuhan saat ini dan sumber daya yang tersedia. Jika persyaratan keamanan organisasi berubah maka, bisa bermigrasi ke tingkatan produk lain 
• Terapkan layanan keamanan terkelola dari Kaspersky seperti Compromise Assessment, Managed Detection and Response (MDR), dan/atau Incident Response. Layanan tersebut mencakup seluruh siklus manajemen insiden, mulai dari identifikasi ancaman hingga perlindungan dan remediasi berkelanjutan. Mereka membantu melindungi dari serangan siber yang bersifat diam-diam, menyelidiki insiden, dan mendapatkan keahlian tambahan bahkan jika perusahaan kekurangan tenaga keamanan siber
• Berikan visibilitas mendalam mengenai ancaman siber yang menargetkan organisasi kepada profesional InfoSec. Kaspersky Threat Intelligence terkini dapat memberi konteks yang kaya dan bermakna di seluruh siklus manajemen insiden dan membantu tim profesional InfoSec untuk mengidentifikasi risiko siber secara tepat waktu.

Demikianlah beberapa tips dari Kaspersky yang dapat diterapkan agar senantiasa amam dari serangan APT.