Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Edukasi
  • Pencuri Dokumen Rahasia XDSpy 9 Tahun Beroperasi Tanpa Diketahui
  • Edukasi
  • Sektor Bisnis
  • Sektor Personal

Pencuri Dokumen Rahasia XDSpy 9 Tahun Beroperasi Tanpa Diketahui

3 min read

Credit image: Pixabay

Kelompok spionase satu ini memang paling ahli bersembunyi di bawah radar deteksi. Beroperasi sejak 2011, mencuri berbagai dokumen rahasia dari berbagai negara tanpa diketahui.

Grup siber XDSpy menargetkan entitas pemerintahan termasuk militer dan kementerian luar negeri serta perusahaan-perusahaan swasta. Kehadiran mereka telah mengancam banyak negara, tak terhitung berapa jumlah dokumen yang telah mereka curi.

ESET yang mengusut lebih lanjut sepak terjang XDSpy coba mengurut secara cermat setiap hal yang terkait XDSpy dan coba menghubungkan dengan grup APT yang diketahui publik dan menemukan hasil:

  • Tidak ditemukan kemiripan kode dengan keluarga malware lainnya.
  • ESET tidak melihat adanya tumpang tindih dalam infrastruktur jaringan.
  • Tidak mengetahui grup APT lain yang menargetkan negara dan vertikal tertentu ini.

Apalagi kelompok tersebut telah aktif selama lebih dari sembilan tahun. Jadi, jika ada tumpang tindih seperti itu, ESET menyakin itu akan segera diketahui, dan kelompok spionase siber tersebut sudah terungkap sejak lama.

Dari penelitian yang ESET lakukan diketahui bahwa pengembang malware spionase ini mungkin bekerja dalam zona waktu UTC +2 atau UTC +3. ESET juga memperhatikan bahwa mereka hanya bekerja dari Senin hingga Jumat, menunjukkan aktivitas profesional.

Bagaimana XDSpy Beroperasi

Operator XDSpy umumnya menggunakan spearphishing email dalam upaya mereka untuk menguasai perangkat target. Lebih dari itu, fakta di lapangan yang ditemui bahwa serangan email tersebut merupakan satu-satunya vektor kompromi berdasar observasi ESET.

Namun, email tersebut cenderung sedikit berbeda, beberapa berisi lampiran sementara yang lain berisi tautan ke file berbahaya. Lapisan pertama dari file atau lampiran berbahaya biasanya berupa arsip ZIP atau RAR.

Tautan mengarah ke arsip ZIP yang berisi file LNK, tanpa dokumen perangkap. Ketika korban mengklik dua kali di atasnya, LNK mendownload skrip tambahan yang menginstal XDDown, komponen malware utama.

Ketika itu terjadi, korban sudah masuk dalam jeratan pengembang malware XDSpy, semua hal dalam perangkat korban akan disortir untuk mencari data penting atau rahasia.

Menghilang dan Beraksi Kembali

Dalam penelusuran, dari pelacakan yang dilakukan, kelompok spionase ini sempat hibernasi selama bulan Maret dan Juni 2020, setelahnya mereka kembali beraksi. Sepertinya mereka memiliki protokol sendiri setiap kali usai melakukan spionase, mereka menghilang.

Pada akhir Juni 2020, dalam aksinya mereka meningkatkan permainan mereka dengan menggunakan kerentanan di Internet Explorer, CVE-2020-0968, yang telah di-patch pada April 2020.

CVE-2020-0968 adalah bagian dari serangkaian kerentanan serupa di mesin JavaScript lama IE yang diungkapkan dalam dua tahun terakhir.

Pada saat itu dieksploitasi oleh XDSpy, tidak ada bukti konsep dan sangat sedikit informasi tentang kerentanan khusus ini yang tersedia secara online. ESET berpikir bahwa XDSpy membeli eksploitasi ini dari broker atau mengembangkan eksploitasi zero day sendiri dengan melihat eksploitasi sebelumnya sebagai inspirasi.

Menarik untuk dicatat bahwa exploit ini memiliki kemiripan dengan exploit yang sebelumnya digunakan dalam operasi siber DarkHotel. Dan hampir identik dengan exploit yang digunakan dalam Operasi Domino pada September 2020.

Meski demikian, namun ESET tidak percaya XDSpy ditautkan dengan operasi DarkHotel dan Operasi Domino juga terlihat sangat berbeda dari XDSpy, tapi ada kemungkinan ketiga grup tersebut berbagi broker eksploitasi yang sama.

Insiden lain, adalah aksi mereka dengan menumpang chaos pandemi Covid-19, setidaknya dua kali pada tahun 2020. Tema ini pertama kali digunakan dalam kampanye spearphishing melawan institusi Belarusia pada Februari 2020. Kemudian, pada September 2020.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET Malware Mata-mata Malware Spionase News prosperita Prosperita Spyware Berbahaya XDSpy

Continue Reading

Previous: siap-siap!! ransomware Ini Setor 1 Juta Dolar Cari Afiliasi
Next: Cara Sederhana Melindungi Perangkat Pintar Rumah

Related Stories

Metode Penyebaran Malware Makin Naik Level Metode Penyebaran Malware Makin Naik Level
4 min read
  • Sektor Bisnis
  • Sektor Personal

Metode Penyebaran Malware Makin Naik Level

May 13, 2025
Spionase Siber Tiongkok Serang Asia Tenggara Geng Penjahat Siber BillBug Fokus Serang Asia Tenggara
3 min read
  • Sektor Bisnis

Spionase Siber Tiongkok Serang Asia Tenggara

May 7, 2025
Mengupas Tuntas Kejahatan Siber Money Mules Mengupas Tuntas Kejahatan Siber Money Mules
5 min read
  • Sektor Personal

Mengupas Tuntas Kejahatan Siber Money Mules

May 5, 2025

Recent Posts

  • Meretas Beragam Wajah Phising
  • ClickFix Bidik Windows dan Linux
  • Pembuat Video Palsu AI Sebar Infostealer
  • Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto
  • Metode Penyebaran Malware Makin Naik Level
  • Ratusan Juta Email Phising Melanda Dunia Maya
  • Sextortion dan Predator Online Merajalela di Dunia Maya
  • Ratusan Ribu Kartu Kredit Dicuri Darcula Lewat Phising
  • Hati-hati Lamaran Online Berisi Phising
  • Scattered Spider Penjahat Siber Paling Bengis

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Meretas Beragam Wajah Phising Meretas Beragam Wajah Phising
7 min read
  • Teknologi

Meretas Beragam Wajah Phising

May 14, 2025
ClickFix Bidik Windows dan Linux ClickFix Bidik Windows dan Linux
3 min read
  • Teknologi

ClickFix Bidik Windows dan Linux

May 14, 2025
Pembuat Video Palsu AI Sebar Infostealer
3 min read
  • Teknologi

Pembuat Video Palsu AI Sebar Infostealer

May 14, 2025
Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto Puluhan Ribu Sub Domain Manipulasi SEO Curi Krypto
4 min read
  • Teknologi

Puluhan Ribu Sub Domain Manipulasi SEO Curi Kripto

May 13, 2025

Copyright © All rights reserved. | DarkNews by AF themes.