Webworm Retas Komputer via Discord & OneDrive

Webworm Retas Komputer via Discord & OneDrive – Dunia keamanan digital kembali dikejutkan oleh temuan terbaru dari para peneliti mengenai pergerakan kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT) bernama Webworm.

Kelompok yang diketahui memiliki keselarasan kepentingan dengan negara Tiongkok ini awalnya dikenal sering membidik instansi pemerintah dan perusahaan infrastruktur penting di kawasan Asia.

Namun, laporan pemantauan terbaru menunjukkan adanya pergeseran strategi yang sangat drastis, Webworm kini meluaskan radar operasinya ke benua Eropa.

Berdasarkan analisis mendalam yang dirilis oleh ESET, peretas kawakan ini terus memperbarui TTP (Tactics, Techniques, and Procedures) mereka agar tidak terdeteksi oleh sistem keamanan standar perusahaan.

Jika dahulu mereka sangat bergantung pada virus trojan klasik, kini mereka memanfaatkan platform digital tepercaya yang kita gunakan sehari-hari.

Seperti aplikasi obrolan Discord dan jaringan awan Microsoft Graph API (OneDrive sebagai kedok untuk mengendalikan komputer korban dari jarak jauh.

Menyamar di Balik Jaringan Legal

Sejak pertama kali didokumentasikan pada tahun 2022, Webworm yang memiliki keterkaitan erat dengan kelompok peretas lain seperti SixLittleMonkeys dan FishMonger, terus berevolusi.

Pada awal kemunculannya, kelompok ini mengandalkan jenis malware Remote Access Trojan (RAT) tradisional seperti McRat dan Trochilus.

Namun, memasuki pertengahan dekade ini, para peneliti melihat fenomena unik di mana Webworm mulai meninggalkan taktik lama tersebut. Mereka beralih menggunakan alat:

• Proksi (proxy tools) kusto.
• Utilitas jaringan semi-legal seperti SoftEther VPN.

Alasan di balik pergeseran ini sangat sederhana: alat proksi jauh lebih senyap dan tidak memicu alarm kecurigaan pada antivirus konvensional.

Sebagai gantinya, karena alat proksi tidak memiliki instruksi bawaan yang lengkap seperti virus konvensional, operator peretas mengandalkan penerjemah perintah langsung pada sistem operasi korbannya, seperti cmd.exe atau powershell.exe.

Dua Senjata Backdoor Baru

Puncak kecanggihan Webworm terlihat pada kampanye siber mereka yang memanfaatkan dua pintu belakang (backdoor) kustom teranyar:

1. EchoCreep (Eksploitasi Aplikasi Chat Discord)

Backdoor yang ditulis dengan bahasa pemrograman Go ini menggunakan jalur komunikasi resmi (API endpoints) milik platform Discord untuk mengirimkan laporan sistem, mengunduh file berbahaya, dan menerima instruksi peretasan.

Para peneliti dari ESET berhasil membongkar pertahanan enkripsi ini dan mengamankan lebih dari 400 pesan rahasia di dalam saluran Discord yang dikuasai peretas.

Di dalam saluran tersebut, peretas membuat ruang obrolan (channel) khusus yang dinamai sesuai dengan alamat IP atau nama komputer masing-masing korban, memberikan mereka kontrol mutlak secara terisolasi.

2. GraphWorm (Penyusupan Berbasis Microsoft Cloud)

Pintu belakang ini memiliki tingkat enkripsi yang lebih rumit menggunakan algoritma AES-256-CBC. Jauh lebih berbahaya dari EchoCreep, GraphWorm akan berjalan secara otomatis setiap kali korban menyalakan dan masuk ke komputer mereka.

Malware ini menyalahgunakan ekosistem Microsoft Graph API untuk berkomunikasi secara eksklusif dengan folder penyimpanan awan OneDrive. Peretas membuat folder rahasia di OneDrive awan yang dibagi menjadi tiga subfolder fungsional:

• /files untuk menyimpan dokumen yang akan dicuri.
• /result untuk menampung hasil eksekusi perintah peretas.
• /job untuk mengantre instruksi peretasan selanjutnya.

Karena lalu lintas komunikasinya mengarah ke domain resmi Microsoft yang tepercaya, aktivitas transfer data curian berukuran besar sering kali lolos dari pemeriksaan firewall internal perusahaan tanpa disadari.

Penjarahan Data Awan

Kelihaian Webworm tidak berhenti sampai di situ. Dalam investigasinya, para peneliti membongkar trik kelompok ini yang menyusup ke sebuah wadah penyimpanan awan publik Amazon S3 milik pihak ketiga yang salah konfigurasi atau bocor aksesnya ke publik.

Melalui wadah S3 curian tersebut, peretas menanam alat bernama WormFrp untuk menarik file konfigurasi terenkripsi dan membuka jalur proksi terbalik.

Melalui celah ini, Webworm dengan leluasa memindahkan data rahasia hasil jarahan dari lembaga pemerintah di Italia dan Spanyol.

Tragisnya, pemilik asli wadah Amazon S3 tersebutlah yang harus membayar tagihan biaya lalu lintas data bulanan (bandwidth) tanpa menyadari sistemnya telah dijadikan sarang laba-laba siber.

Di dalam wadah penyimpanan yang bocor itu, ditemukan file konfigurasi aplikasi mRemoteNG yang berisi:

• Daftar host virtual sensitif milik pemerintah Spanyol.
• Bagan diagram Microsoft Visio yang merinci arsitektur jaringan domain internal mereka.
• Hingga perkakas berbahaya bernama SharpSecretsdump yang digunakan untuk menguras kata sandi dari komputer berbasis Windows.

Membangun Jaringan Gelap Berlapis

Guna mengelabui pelacakan digital forensik, Webworm merajut jaringan proksi berlapis yang rumit di sekeliling korbannya menggunakan rentetan alat buatan sendiri:

1. ChainWorm

Alat yang membuka port tertentu pada komputer korban untuk menghubungkan koneksi dari satu komputer ke komputer lainnya secara berantai (chaining) dalam jumlah lompatan (hops) yang tidak terbatas, sehingga menyamarkan lokasi asli si peretas.

2. SmuxProxy

Utilitas praktis berbasis alat iox yang sudah dimodifikasi agar langsung mengarah pada alamat IP server peretas secara otomatis.

3. WormSocket

Alat canggih berbasis protokol socket.io untuk membuat jaringan proksi web yang sangat fleksibel dan dapat dikalibrasi kapan saja oleh operator.

Seluruh infrastruktur proksi dan VPN yang disewa oleh Webworm dilaporkan memanfaatkan server awan komersial yang dikendalikan di bawah jaringan penyedia infrastruktur Vultr dan IT7 Networks.

Berburu Celah Lewat Pemindai Otomatis

Meskipun jalur infiltrasi awalnya bervariasi, analisis berkas riwayat perintah (bash history) pada server yang ditinggalkan peretas memperlihatkan bahwa Webworm sangat mengandalkan dua perkakas pemindai sumber terbuka, yaitu dirsearch dan nuclei.

Peretas mengerahkan dirsearch untuk melakukan pencarian paksa (brute-force) terhadap direktori dan file rahasia pada server web target tercatat telah memindai 56 target unik di berbagai negara seperti:

• Spanyol.
• Hongaria.
• Belgia.
• Nigeria.
• Ceko.
• Serbia.

Sementara melalui alat nuclei, peretas memanfaatkan skrip eksploitasi celah keamanan lama (CVE-2017-7692) yang menyerang aplikasi webmail SquirrelMail di Serbia.

Hal ini mengindikasikan kuat bahwa kelompok ini berhasil mencuri kredensial masuk pengguna melalui kerentanan sistem yang belum ditambal sebagai pintu masuk utama serangan.

Langkah Mitigasi bagi Masyarakat & Organisasi

Mengingat taktik Webworm yang sangat rapi dalam memanfaatkan aplikasi sehari-hari yang kita percayai, berikut adalah panduan mitigasi teknis dan praktis yang direkomendasikan untuk memutus rantai serangan:

1. Jika Anda mengelola jaringan perusahaan, batasi atau blokir akses keluar yang menuju ke domain API Discord (discordapp.com) dari komputer server penting. Tidak ada alasan operasional bagi sebuah server basis data perusahaan untuk berkomunikasi dengan aplikasi chat.
2. Lakukan peninjauan berkala terhadap aplikasi pihak ketiga yang memiliki integrasi ke Microsoft Graph API atau OneDrive perusahaan Anda. Pastikan untuk mewajibkan persetujuan administrator (admin approval) sebelum memberikan izin akses data awan.
3. Terapkan kebijakan pembatasan perangkat lunak (software restriction policies) untuk melarang eksekusi aplikasi VPN portabel atau alat pemetaan jaringan seperti SoftEther VPN, iox, atau frp pada komputer karyawan.
4. Awasi jika ada proses latar belakang dari aplikasi biasa yang tiba-tiba memicu jalannya cmd.exe atau powershell.exe dengan argumen yang tidak biasa (seperti perintah unduhan otomatis menggunakan curl).
5. Gunakan Proteksi dari ESET: Karena analisis komprehensif ini dirilis langsung berdasarkan investigasi mereka, solusi keamanan dari ESET memiliki pemahaman paling mendalam terhadap karakteristik serangan Webworm. Teknologi ESET dilengkapi dengan fitur Exploit Blocker dan pemindaian memori tingkat lanjut (Advanced Memory Scanner) yang mampu mengenali eksekusi berbahaya dari backdoor EchoCreep dan GraphWorm secara waktu-nyata, sekaligus mencegah peretas menyalahgunakan token akses OneDrive Anda sebelum data sempat dijarah keluar.

Konklusi

Aktivitas kelompok peretas Webworm menjadi pengingat berharga bagi industri teknologi di tahun 2026, ancaman siber terbesar tidak lagi selalu datang dalam bentuk kode virus yang rumit.

Melainkan dari penyalahgunaan fitur-fitur legal dan layanan awan tepercaya yang kita gunakan setiap hari. Kewaspadaan digital, pembatasan hak akses API.

Serta penggunaan sistem proteksi proaktif yang andal adalah kunci utama agar infrastruktur digital organisasi Anda tidak berubah menjadi jalan pintas bagi mata-mata siber internasional.

Sumber berita:

WeLiveSecurity