Image credit: Freepix
Peretas yang Sembunyi di Draf Outlook – Peneliti ESET baru saja mengungkap keberadaan kelompok spionase siber (APT) yang sebelumnya tidak terdokumentasi dan diyakini selaras dengan kepentingan Tiongkok.
Kelompok yang diberi nama GopherWhisper ini memiliki karakteristik unik, yaitu penggunaan rangkaian alat peretasan yang sebagian besar ditulis dalam bahasa pemrograman Go.
Hal yang membuat GopherWhisper sangat berbahaya adalah kemampuannya menyalahgunakan layanan cloud sah yang biasa digunakan sehari-hari seperti:
- Discord
- Slack
- Microsoft 365 Outlook
- dan file.io
Sebagai sarana komunikasi perintah (Command and Control atau C&C) serta pencurian data (exfiltration). Strategi ini membuat aktivitas ilegal mereka sulit dibedakan dengan lalu lintas jaringan kantor yang normal.
Gudang Senjata GopherWhisper
Nama GopherWhisper dipilih oleh para peneliti karena mayoritas alat mereka menggunakan bahasa Go (yang memiliki maskot seekor gopher).
Serta penggunaan komponen berbahaya bernama whisper.dll. Peneliti berhasil mengidentifikasi berbagai alat canggih di dalam gudang senjata mereka:
- JabGopher: Sebuah injektor yang bertugas menyuntikkan pintu belakang (backdoor) ke dalam memori proses sistem agar tidak terdeteksi.
- LaxGopher & RatGopher: Dua pintu belakang berbasis Go yang masing-masing menyalahgunakan Slack dan Discord untuk menerima perintah dari peretas dan mengirimkan hasilnya kembali ke saluran tersebut.
- BoxOfFriends: Backdoor yang sangat cerdik karena menggunakan API Microsoft Graph untuk berkomunikasi melalui pesan draf di Outlook. Peretas dan malware saling bertukar informasi melalui draf email tanpa harus benar-benar mengirimkan email tersebut.
- CompactGopher: Alat khusus yang digunakan untuk mengompresi file korban secara cepat dan mengirimkannya ke layanan berbagi file file.io.
- SSLORDoor: Pintu belakang berbasis C++ yang digunakan untuk manipulasi file secara langsung pada sistem yang terkompromi.
Mengintip Isi Pesan Sang Peretas
Salah satu pencapaian besar dalam investigasi ini adalah keberhasilan peneliti dalam mengekstrak ribuan pesan dari saluran Slack dan Discord yang digunakan oleh GopherWhisper.
Analisis terhadap pesan-pesan ini memberikan wawasan mendalam mengenai cara kerja internal kelompok tersebut.
Berdasarkan pemeriksaan stempel waktu (timestamp), sebagian besar aktivitas pengiriman pesan terjadi pada jam kerja, yaitu antara pukul 08.00 hingga 17.00 di zona waktu UTC+8. Zona waktu ini selaras dengan Waktu Standar Tiongkok (China Standard Time).
Selain itu, pengaturan metadata pengguna pada akun-akun tersebut juga menunjukkan zona waktu yang sama, yang memperkuat dugaan bahwa kelompok ini berbasis di wilayah tersebut.
Pesan-pesan yang terkumpul mengungkap bahwa peretas menggunakan saluran tersebut untuk:
- Melakukan pengujian fungsi backdoor sebelum digunakan dalam serangan nyata.
- Mengirimkan perintah enumerasi disk dan pencarian file sensitif pada mesin korban.
- Berbagi referensi dari berbagai repositori GitHub untuk pengembangan kode enkripsi dan teknik injeksi proses.
|
Baca juga: Panduan Komprehensif Menghapus Informasi Pribadi di Internet |
Jejak Digital di Layanan Microsoft Outlook
Selain Slack dan Discord, peneliti juga menemukan jejak komunikasi pada akun Outlook yang digunakan oleh backdoor BoxOfFriends.
Peneliti menemukan bahwa akun tersebut dibuat hanya 11 hari sebelum komponen pemuat (loader) dari malware tersebut diciptakan.
Kelalaian peretas yang tidak menghapus email sambutan otomatis dari Microsoft saat pembuatan akun memberikan petunjuk penting mengenai linimasa operasi mereka.
Langkah Penjagaan terhadap Ancaman APT
Kemampuan GopherWhisper dalam memanfaatkan layanan sah menuntut organisasi untuk memiliki sistem deteksi yang lebih peka. Beberapa langkah penguatan yang dapat diambil meliputi:
- Pemantauan Aktivitas API: Awasi penggunaan API layanan seperti Slack, Discord, atau Microsoft Graph yang tidak lazim, terutama dari proses sistem yang tidak seharusnya berkomunikasi dengan layanan tersebut.
- Analisis Memori: Karena GopherWhisper sering menggunakan teknik injeksi memori, gunakan solusi keamanan yang mampu memindai aktivitas proses secara real-time.
- Audit Lalu Lintas Cloud: Jangan mengasumsikan bahwa semua koneksi ke domain Microsoft atau Slack adalah aman. Terapkan inspeksi mendalam pada lalu lintas enkripsi (SSL/TLS).
- Gunakan Proteksi Modern: Solusi keamanan dari ESET dirancang untuk mengenali pola perilaku dari malware berbasis Go dan teknik pemuatan kode yang digunakan oleh kelompok APT seperti GopherWhisper, bahkan sebelum tanda tangan digital malware tersebut dikenal secara luas.
Keamanan di Balik Layanan Terpercaya
Investigasi terhadap GopherWhisper membuktikan bahwa kelompok APT modern kini semakin mahir “bersembunyi di tempat terang” dengan menyalahgunakan infrastruktur cloud publik yang tepercaya.
Di tahun 2026, membedakan antara kolaborasi tim yang sah dengan instruksi dari peretas memerlukan ketelitian tingkat tinggi.
Memahami taktik mereka mulai dari penggunaan bahasa Go hingga komunikasi lewat draf email adalah kunci utama bagi organisasi untuk tetap selangkah di depan dalam menjaga integritas data pemerintah maupun korporasi dari intaian spionase siber.
Sumber berita:
