Image credit: magnific
Sembunyikan Malware di Balik File Raksasa – Sebuah operasi spionase siber bertarget tingkat tinggi berskala internasional dilaporkan tengah menempatkan kondisi siaga satu pada para profesional teknologi.
- Sektor telekomunikasi.
- Industri kedirgantaraan
- Industri pertahanan.
Serangan persisten ini digerakkan oleh kelompok peretas profesional yang berafiliasi dengan kepentingan Iran, yang menyebarkan dua keluarga trojan akses jarak jauh (Remote Access Trojan/RAT) baru.
Yakni melalui kedok tawaran lowongan kerja palsu (recruitment lures) dan installer perangkat lunak tiruan yang dirancang dengan sangat rapi.
Berdasarkan analisis intelijen ancaman siber, operasi spionase ini telah diinisiasi sejak pertengahan Februari 2026 dan terus memperluas jangkauan serangannya secara masif, dengan sampel varian baru yang terus bermunculan hingga pertengahan April 2026.
Para peneliti keamanan siber menilai bahwa lonjakan aktivitas peretasan ini memiliki korelasi geopolitik yang sangat erat dengan eskalasi konflik regional di Timur Tengah yang meletus pada 28 Februari 2026.
Aktor ancaman di balik intrusi berbahaya ini dilacak di bawah kode nama Screening Serpens, yang juga dikenal di komunitas intelijen siber melalui alias:
- UNC1549.
- Smoke Sandstorm.
- Iranian Dream Job.
Kelompok APT (Advanced Persistent Threat) ini telah aktif setidaknya sejak tahun 2022 dengan fokus historis pada target-target strategis di Timur Tengah.
Sebelum akhirnya mulai berekspansi ke wilayah Eropa Barat pada akhir tahun 2025 dan kini menghantam Amerika Serikat serta sekutunya di tahun 2026.
|
Baca juga: Memahami Cara Kerja RFID dan NFC |
MiniUpdate dan MiniJunk V2
Dalam operasi siber terbarunya, Screening Serpens mengerahkan enam varian RAT baru yang dikelompokkan ke dalam dua rumpun malware dengan karakteristik teknis yang berbeda:
- MiniUpdate (keluarga malware baru)
- MiniJunk V2 (versi pembaruan dari alat peretasan yang sudah ada).
Kedua keluarga malware ini dikirimkan melalui metode spear-phishing yang dipersonalisasi tinggi, dengan mencatut identitas merek-merek tepercaya serta platform pencarian kerja profesional.
Korban biasanya menerima pesan yang memuat dokumen aplikasi kerja palsu atau undangan pertemuan daring (meeting invitations) tiruan.
Ketika korban mengeklik dan membuka file arsip terkompresi yang dilampirkan lalu menjalankan file di dalamnya, rantai infeksi akan langsung berjalan secara senyap di latar belakang sistem tanpa memicu tanda-tanda keanehan apa pun pada layar komputer.
Eksploitasi Teknis Tingkat Lanjut
MiniUpdate RAT merupakan keluarga malware yang memiliki kecanggihan teknis paling tinggi dalam operasi ini. Trojan ini memanfaatkan teknik manipulasi yang disebut AppDomainManager hijacking.
Dengan cara memodifikasi file konfigurasi resmi dari aplikasi bawaan Windows yang tepercaya, malware ini memerintahkan lingkungan runtime .NET untuk menonaktifkan fitur perlindungan keamanannya sendiri sebelum aplikasi induk dimuat sepenuhnya ke dalam memori.
Teknik ini menciptakan lingkungan eksekusi yang steril bagi malware, di mana tumpukan perangkat lunak pemantau keamanan konvensional telah dibuat “buta” sejak awal.
Secara spesifik, modifikasi konfigurasi tersebut mengeksekusi tindakan berbahaya berikut:
1. Mematikan ETW (Event Tracing for Windows)
ETW adalah sumber telemetri utama yang digunakan oleh perangkat lunak keamanan (seperti EDR) untuk mendeteksi perilaku mencurigakan pada sistem operasi.
Dengan mematikan ETW, aktivitas peretas tidak akan tercatat dalam log sistem.
2. Bypass Pemeriksaan Tanda Tangan Digital
Memaksa sistem menerima dan menjalankan kode biner berbahaya yang tidak bertanda tangan resmi (unsigned binaries).
3. Mekanisme Persistensi
Malware membuat tugas terjadwal (scheduled task) di sistem operasi Windows yang diatur untuk mengeksekusi dirinya secara otomatis setiap hari pada pukul 09:30 waktu setempat.
Memastikan peretas tetap memiliki akses meskipun komputer korban telah dinyalakan ulang (reboot).
|
Baca juga: Curi Webcam Bikin Zoom Palsu |
Domain Palsu
Untuk menyembunyikan jejak komunikasinya, lalu lintas perintah dan kontrol (C2) dari MiniUpdate dialirkan melalui domain-domain palsu yang di-host di layanan awan Microsoft Azure.
Peretas menetapkan domain Azure yang unik dan berbeda untuk setiap target spesifik, sehingga pemblokiran terhadap satu domain tunggal tidak akan menggagalkan infrastruktur operasi mereka secara keseluruhan.
Sebagai contoh, pada operasi bulan Maret 2026 di Amerika Serikat, RAT ini dikemas di dalam file arsip yang menyamar sebagai materi rekrutmen maskapai penerbangan internasional.
Lengkap dengan dokumen deskripsi pekerjaan palsu untuk posisi teknis senior guna memancing para profesional berpengalaman. Sementara pada bulan yang sama di Israel, arsip berbahaya tersebut menyamar sebagai installer aplikasi konferensi video.
Situs web tiruan akan menampilkan layar proses pemuatan (loading screen) palsu untuk mengecoh perhatian pengguna, sementara malware di latar belakang sedang menyelesaikan proses instalasi pintu belakangnya.
Teknik Penggemukan File
Keluarga malware kedua, MiniJunk V2, yang pertama kali terdeteksi pada 17 Februari 2026, menggunakan pendekatan yang berbeda untuk menghindari sistem pemindaian keamanan.
Malware ini menerapkan teknik penggelembungan ukuran file (file padding/inflation) hingga membengkak menjadi sekitar 12 Megabyte (MB).
Hal ini dilakukan dengan cara menyisipkan ribuan baris string kode acak tak bermakna dari bahasa pemrograman Java dan Python.
Taktik ini sangat efektif karena sebagian besar mesin pemindai antivirus otomatis dan kotak pasir (sandbox) di tingkat gateway email memiliki batasan ukuran file maksimal (scanning limits) untuk efisiensi kinerja.
File yang terlalu besar sering kali dilewati dari proses pemindaian mendalam. Selain itu, tumpukan data sampah ini sengaja dibuat untuk membanjiri perangkat lunak analisis digital forensik, sehingga mempersulit para analis keamanan melakukan dekompilasi kode secara manual.
|
Baca juga: Bahaya Ekstensi Pencuri di Cursor |
Alur Kerja Infeksi Minijunk V2
- Korban Membuka Undangan Pertemuan -> File 12 MB Dieksekusi
- Layer 1: Pemuatan DLL Sah Windows -> Memicu Sideloading
- Layer 2: DLL Berbahaya Mengabaikan Analisis Sandbox
- Pengecekan Tanggal Keras (Mati Sebelum 27 Maret 2026, 13:30)
- Tampilan “Meeting Room” Palsu Guna Alihkan Perhatian Korban
- Koneksi Outbound ke 5 Server C2 di Azure Cloud
MiniJunk V2 menggunakan teknik DLL Sideloading dua lapis untuk menyuntikkan muatan intinya.
Untuk varian yang menyerang Amerika Serikat pada bulan Maret, peretas menanamkan fungsi pengecekan tanggal yang sangat ketat (hard-coded date check).
Malware diprogram untuk tidak akan aktif atau menunjukkan perilaku berbahaya apa pun sebelum tanggal 27 Maret 2026 pukul 13:30 UTC.
Jika file ini diuji di dalam lingkungan sandbox otomatis sebelum waktu tersebut, malware akan terlihat sebagai file bersih yang tidak berbahaya, membuat deteksi dini menjadi tidak berguna.
Saat diaktifkan, malware menampilkan jendela “Meeting Room” palsu di layar komputer untuk menjaga agar perhatian korban tidak teralih ke aktivitas latar belakang.
Sementara malware membuka koneksi keluar ke lima server perintah berbasis Azure yang namanya disamarkan menyerupai nama proses layanan resmi Windows.
Karakteristik Operasi Spionase
Sebagai bahan analisis komprehensif, taktik lowongan kerja palsu yang dijalankan oleh Screening Serpens (Iranian Dream Job) memiliki kesamaan pola siber fungsional dengan kampanye-kampanye spionase siber historis asal Iran lainnya, seperti pada:
- Kelompok Charming Kitten (APT35)atau
- Peach Sandstorm (APT33).
Kelompok-kelompok ini secara konsisten mengandalkan pembuatan profil rekrutmen SDM palsu di platform profesional seperti LinkedIn untuk mendekati para pakar industri militer, pertahanan, dan kedirgantaraan.
Keberhasilan taktik ini membuktikan bahwa rekayasa sosial yang dipadukan dengan manipulasi file konfigurasi sistem operasi bawaan (living-off-the-land) jauh lebih efektif untuk menembus parameter sekuritas tingkat tinggi dibandingkan sekadar mengandalkan pembuatan kode virus baru dari nol.
Sumber berita:
