Image credit: magnific
Webworm Sulap Akun Cloud Korban Jadi Alat Mata-Mata – Laporan intelijen siber terbaru dari ESET mengungkapkan bahwa kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT) yang selaras dengan kepentingan Tiongkok, Webworm, kian agresif memperbarui senjata digital mereka.
Kelompok yang telah aktif sejak 2022 ini awalnya membidik organisasi di kawasan Asia. Namun memasuki tahun 2026, data telemetri menunjukkan pergeseran target yang sangat signifikan ke benua Eropa.
Organisasi pemerintahan di berbagai negara banyak yang kini berada di bawah radar intaian mereka, termasuk sebuah universitas lokal di wilayah Afrika Selatan.
Menariknya, dalam kampanye siber terbarunya, Webworm mulai menyalahgunakan platform populer seperti Discord dan layanan awan Microsoft Graph API (OneDrive) sebagai kedok untuk mengendalikan perangkat korban secara senyap.
|
Baca juga: Ekstensi Palsu Bobol 4 Juta Akun |
Menyamar di Balik Layanan Komersial Sah
Salah satu tantangan terbesar bagi tim pertahanan siber saat ini adalah taktik peretas yang pandai membaurkan lalu lintas data mereka dengan aktivitas internet yang sah.
Strategi inilah yang diadopsi secara masif oleh Webworm melalui dua senjata pintu belakang (backdoor) kustom teranyar mereka:
EchoCreep (Memanfaatkan Chat Discord)
Backdoor berbasis bahasa pemrograman Go ini menggunakan API Discord untuk mengirim laporan sistem, mengunduh file berbahaya, dan menerima instruksi peretasan.
ESET berhasil mendekripsi lebih dari 400 pesan di dalam saluran Discord rahasia ini. Uniknya, peretas membuat satu saluran (channel) khusus untuk satu target komputer korban yang dinamai menggunakan alamat IP atau nama perangkat korban.
GraphWorm (Memanfaatkan Microsoft Graph API)
Pintu belakang ini jauh lebih canggih dan berjalan otomatis setiap kali korban menyalakan komputer.
GraphWorm menyalahgunakan ekosistem Microsoft Graph API untuk berkomunikasi secara eksklusif dengan folder penyimpanan awan OneDrive.
Peretas membuat folder khusus untuk setiap korban yang dibagi lagi menjadi tiga subfolder: /files (pencurian file), /result (hasil eksekusi perintah), dan /job (antrean perintah peretas).
Karena lalu lintas datanya mengarah ke domain resmi Microsoft, aktivitas transfer data curian berukuran besar sering kali lolos dari pemeriksaan keamanan internal perusahaan.
Selain kedua platform di atas, Webworm menggunakan taktik menyamar di siang bolong dengan membuat replika (fork) palsu dari repositori kode resmi WordPress di GitHub (github[.]com/anjsdgasdf/WordPress).
Repositori ini mereka fungsikan sebagai tempat penyimpanan (stager) komponen malware pelengkap, seperti aplikasi SoftEther VPN.
|
Baca juga: Predator Infeksi Korban Hanya dengan Melihat Iklan |
Korban yang Membayar Tagihan
Investigasi ESET juga membongkar trik Webworm yang menyusup ke sebuah wadah penyimpanan awan publik Amazon S3 milik pihak ketiga yang salah konfigurasi (bocor aksesnya ke publik). Di dalam wadah S3 ini, peretas menanam alat proksi kustom bernama WormFrp.
Alat ini diprogram secara khusus untuk mengambil file enkripsi konfigurasi dari wadah Amazon S3 tersebut untuk membuka jalur proksi terbalik (reverse proxy).
Yang memprihatinkan, melalui wadah penyimpanan publik ini, Webworm dengan leluasa memindahkan data rahasia hasil jarahan dari lembaga pemerintah Spanyol dan Italia.
Sementara pemilik asli wadah awan tersebut yang harus membayar tagihan biaya lalu lintas datanya tanpa menyadari adanya kebocoran.
Di antara file yang dicuri, ditemukan diagram infrastruktur jaringan domain penting milik pemerintah Spanyol dan file konfigurasi mRemoteNG (aplikasi pengelola koneksi jarak jauh) yang berisi daftar host virtual sensitif.
Membangun Jaringan Gelap
Guna mempersulit pelacakan, Webworm mulai meninggalkan trojan klasik seperti Trochilus dan McRat.
Mereka kini beralih membangun jaringan proksi berlapis yang rumit menggunakan kombinasi alat sumber terbuka dan perkakas buatan sendiri:
ChainWorm.
Alat proksi kustom yang membuka port tertentu pada komputer yang terinfeksi. Alat ini berfungsi menghubungkan koneksi dari satu komputer korban ke komputer lainnya secara berantai (chaining) dalam jumlah lompatan (hops) yang tidak terbatas, sehingga menyamarkan lokasi asli si peretas.
SmuxProxy.
Varian modifikasi dari alat port-forwarding iox yang sudah ditanami alamat IP server peretas secara permanen agar lebih praktis saat dijatuhkan ke komputer target.
WormSocket.
Utilitas canggih yang memanfaatkan protokol socket.io untuk membuat jaringan proksi web yang sangat fleksibel dan dapat diskalakan kapan saja oleh operator.
Semua infrastruktur proksi dan VPN yang digunakan oleh Webworm dilaporkan menyewa server awan komersial yang dikendalikan di bawah jaringan penyedia Vultr dan IT7 Networks.
Pintu Masuk Serangan
Meskipun titik awal penetrasi bervariasi, analisis berkas riwayat perintah (bash history) pada server operator peretas menunjukkan bahwa Webworm mengandalkan dua perkakas pemindai sumber terbuka, yaitu dirsearch dan nuclei.
Peretas menggunakan dirsearch untuk melakukan pencarian paksa (brute-force) terhadap direktori dan file tersembunyi pada server web target.
Alat ini tercatat telah digunakan untuk memindai 56 target unik di berbagai negara seperti:
- Spanyol.
- Hongaria.
- Belgia.
- Nigeria.
- Ceko.
- Serbia.
Sementara melalui alat nuclei, peretas memanfaatkan skrip eksploitasi (Proof-of-Concept) untuk celah keamanan lama tahun 2017 (CVE-2017-7692).
Yang digunakan menyerang aplikasi webmail SquirrelMail di Serbia guna mencuri kredensial log masuk sebagai akses awal.
|
Baca juga: Zero Trust Verifikasi Dulu Akses Kemudian |
Mitigasi bagi Orang Awam & Organisasi
Mengingat taktik Webworm yang sangat rapi dalam memanfaatkan aplikasi sehari-hari seperti Discord dan OneDrive, langkah perlindungan konvensional harus ditingkatkan.
Berikut panduan mitigasi yang disarankan:
1. Blokir Webhook dan API Platform Sosial di Server Kerja.
Jika organisasi Anda memiliki server internal atau komputer jaringan penting, batasi atau blokir akses keluar yang menuju ke domain API Discord (discordapp.com).
Tidak ada alasan logis bagi sebuah sistem basis data atau server aplikasi untuk berkomunikasi dengan platform chat secara otomatis.
2. Audit Ketat Izin Aplikasi Pihak Ketiga pada Akun Microsoft 365.
Lakukan peninjauan berkala terhadap aplikasi apa saja yang memiliki akses integrasi ke Microsoft Graph API atau OneDrive perusahaan Anda.
Pastikan untuk menerapkan persetujuan administrator (admin approval) sebelum aplikasi luar diizinkan menautkan data.
3. Tutup Penggunaan Utilitas Proksi Tidak Sah.
Terapkan kebijakan pembatasan perangkat lunak untuk melarang eksekusi aplikasi VPN portabel atau alat pemetaan jaringan seperti SoftEther VPN dan iox pada komputer karyawan.
4. Pantau Anomali Aktivitas Command Prompt (cmd.exe).
Karena alat proksi Webworm memaksa penyerang menggunakan interpreter perintah bawaan Windows, maka tim keamanan harus mengawasi dengan ketat.
Jika ada proses latar belakang dari aplikasi biasa yang tiba-tiba memicu jalannya cmd.exe atau powershell.exe dengan argumen yang tidak biasa (seperti perintah curl otomatis).
5. Gunakan Proteksi dari ESET.
Karena analisis komprehensif ini dirilis langsung oleh ESET, solusi keamanan dari ESET memiliki pemahaman paling mendalam terhadap karakteristik serangan Webworm.
Teknologi perlindungan ESET dilengkapi dengan fitur Exploit Blocker dan kecerdasan buatan (Heuristic Analysis) yang mampu mendeteksi keberadaan backdoor EchoCreep dan GraphWorm secara real-time.
ESET akan langsung memotong komunikasi berbahaya yang mencoba menyalahgunakan token akses OneDrive atau memblokir aktivitas pemindaian otomatis dari alat seperti nuclei sebelum peretas sempat menanamkan proksi kustom mereka di dalam jaringan Anda.
Kewaspadaan Digital
Kasus Webworm memperlihatkan realitas baru dunia keamanan siber di tahun 2026: peretas tidak lagi selalu membuat program jahat yang rumit.
Melainkan memanfaatkan celah kelengahan konfigurasi awan (seperti Amazon S3) dan menyusup di balik aplikasi populer yang kita percayai setiap hari.
Kewaspadaan digital, pengawasan ketat terhadap izin akses API, serta penggunaan sistem proteksi proaktif yang andal adalah kunci utama agar aset data penting Anda tidak berubah menjadi bagian dari jaringan gelap para peretas internasional.
Sumber berita:
