Pemerintah Asia Tenggara Korban Hacker Tiongkok

Pemerintah Asia Tenggara Korban Hacker Tiongkok – Sebuah kelompok peretas yang diduga berafiliasi dengan negara China telah diidentifikasi sebagai pelaku di balik serangkaian aktivitas spionase siber global.

Kelompok ini menargetkan lembaga pemerintah dan sektor swasta di Afrika, Asia, Amerika Utara, Amerika Selatan, hingga Oseania.

Awalnya dilacak oleh peneliti keamanan siber dengan nama TAG-100, kini kelompok ini diberi nama baru: RedNovember. Microsoft juga melacak aktivitas yang sama dengan sebutan Storm-2077.

Menurut laporan, antara Juni 2024 hingga Juli 2025, RedNovember (Storm-2077) menargetkan perangkat jaringan terdepan (perimeter appliances) dari organisasi-organisasi penting di seluruh dunia.

Mereka menggunakan backdoor berbasis Go bernama Pantegana dan alat sah yang disalahgunakan, Cobalt Strike, sebagai bagian dari serangan mereka.

Kelompok ini telah memperluas targetnya, mencakup berbagai organisasi pemerintah dan swasta, termasuk sektor pertahanan dan kedirgantaraan, organisasi luar angkasa, serta firma hukum.

Beberapa korban baru yang diduga dari kelompok ini antara lain:

Kementerian luar negeri di Asia Tengah.
Organisasi keamanan negara di Afrika.
Direktorat pemerintah Eropa.
Pemerintah di Asia Tenggara.

Selain itu, RedNovember juga diyakini telah meretas setidaknya dua kontraktor pertahanan di Amerika Serikat, sebuah produsen mesin di Eropa, dan badan kerja sama antar-pemerintah yang berfokus pada perdagangan di Asia Tenggara.

Fokus pada Kerentanan Jaringan

Pemerintah Asia Tenggara Korban Hacker Tiongkok — Credit image: Pixabay

RedNovember pertama kali didokumentasikan lebih dari setahun yang lalu karena penggunaan kerentanan yang diketahui (known security flaws) pada perangkat yang menghadap ke internet untuk mendapatkan akses awal.

Perangkat yang menjadi sasaran mereka mencakup berbagai produk dari perusahaan keamanan siber ternama yang sudah terekspos kelemahannya.

Fokus serangan pada solusi keamanan seperti VPN, firewall, load balancers, infrastruktur virtualisasi, dan email server mencerminkan tren yang semakin diadopsi oleh kelompok peretas yang disponsori negara Tiongkok lainnya.

Tujuannya adalah untuk membobol jaringan yang menjadi target dan mempertahankan akses untuk jangka waktu yang lama untuk mendapatkan semua.

Taktik Cerdik untuk Menghindari Deteksi

Salah satu aspek penting dari taktik RedNovember adalah penggunaan Pantegana dan Spark RAT, keduanya merupakan alat sumber terbuka (open-source).

Penggunaan alat publik ini kemungkinan besar bertujuan untuk membingungkan upaya atribusi, sebuah ciri khas dari pelaku spionase.

Serangan mereka juga melibatkan penggunaan varian dari LESLIELOADER, sebuah loader berbasis Go yang tersedia secara publik, untuk meluncurkan Spark RAT atau Cobalt Strike Beacons pada perangkat yang berhasil mereka bobol.

Selain itu, RedNovember menggunakan layanan VPN seperti ExpressVPN dan Warp VPN untuk mengelola dan terhubung ke server yang digunakan untuk eksploitasi dan komunikasi dengan malware mereka. Penggunaan layanan VPN yang sah ini juga menjadi taktik untuk menyembunyikan jejak mereka.

Target Geografis dan Motivasi yang Berubah-ubah

Antara Juni 2024 hingga Mei 2025, sebagian besar upaya peretasan RedNovember berfokus pada Panama, Amerika Serikat, Taiwan, dan Korea Selatan.

Pada April 2025, mereka ditemukan menargetkan perangkat Ivanti Connect Secure yang terkait dengan sebuah surat kabar dan kontraktor militer, keduanya berbasis di AS.

Yang menarik, peneliti juga mengidentifikasi bahwa RedNovember kemungkinan menargetkan portal Microsoft Outlook Web Access (OWA) milik sebuah negara di Amerika Selatan sebelum kunjungan kenegaraan negara tersebut ke Tiongkok.

RedNovember secara historis menargetkan beragam negara dan sektor, menunjukkan persyaratan intelijen yang luas dan terus berubah.

Aktivitas mereka hingga saat ini berfokus pada beberapa wilayah geografis utama, termasuk AS, Asia Tenggara, wilayah Pasifik, dan Amerika Selatan.

Hal ini mengindikasikan bahwa kelompok ini memiliki misi spionase yang fleksibel dan luas, menargetkan informasi politik, ekonomi, dan militer yang berbeda sesuai dengan kebutuhan intelijen mereka.

Dampak dan Rekomendasi Keamanan

Serangan seperti yang dilakukan RedNovember menunjukkan bahwa organisasi, baik pemerintah maupun swasta, harus terus memperkuat pertahanan siber mereka. Berikut adalah beberapa langkah penting untuk melindungi diri dari ancaman serupa:

Pastikan semua perangkat jaringan, firewall, VPN, dan software lainnya selalu diperbarui dengan patch keamanan terbaru. Sebagian besar serangan RedNovember memanfaatkan kerentanan yang sudah diketahui, sehingga pembaruan adalah kunci.
Terapkan otentikasi multifaktor (MFA) untuk semua layanan penting, terutama pada portal akses web seperti OWA dan VPN.
Gunakan solusi pemantauan jaringan yang canggih untuk mendeteksi lalu lintas yang tidak biasa, bahkan dari alat-alat yang terlihat sah seperti VPN atau Cobalt Strike.
Latih karyawan untuk mengenali tanda-tanda serangan phishing dan social engineering yang sering menjadi langkah awal dalam serangan yang lebih canggih.

Ancaman dari kelompok seperti RedNovember menegaskan bahwa spionase siber tidak lagi terbatas pada film-film, melainkan kenyataan yang terus berkembang.

Melindungi infrastruktur digital bukan lagi sekadar pilihan, melainkan keharusan untuk menjaga keamanan nasional dan data perusahaan.

Baca artikel lainnya: