Cyberthreat.id – Kelompok APT asal China, Aoqin Dragon dilaporkan menargetkan sejumlah organisasi di Asia Tenggara dan Australia.

Dikutip dari Info Security Magazine, peneliti dari perusahaan keamanan siber Sentinel Labs, menemukan bahwa kelompok tersebut telah dikaitkan dengan beberapa serangan peretasan terhadap entitas pemerintah, pendidikan, dan telekomunikasi terutama di Asia Tenggara dan Australia sejak 2013 lalu.

“Kami menilai bahwa fokus utama aktor ancaman adalah spionase dan terkait dengan target di Australia, Kamboja, Hong Kong, Singapura, dan Vietnam, kata peneliti dari SentinelOne, Joey Chen.

Chen menyebutkan, Aoqin Dragon sangat bergantung pada penggunaan umpan dokumen untuk menginfeksi pengguna. Ada tiga poin menarik yang pihaknya temukan dari dokumen umpan yang digunakan untuk menjebak para korbannya.

Pertama, sebagian besar konten umpan bertema seputar target yang tertarik dengan urusan politik APAC. Kedua, para pelaku memanfaatkan dokumen iming-iming bertema pornografi untuk memikat sasaran. Ketiga, dalam banyak kasus, dokumen tersebut tidak spesifik untuk satu negara melainkan keseluruhan Asia Tenggara.

Sementara itu, dari sudut pandang teknis, malware menggunakan eksploitasi dokumen, menipu pengguna untuk membuka dokumen Word yang dipersenjatai untuk menginstal pintu belakang. Atau, pengguna terpikat untuk mengklik dua kali program antivirus palsu yang mengeksekusi malware di host korban.

Malware juga secara teratur menggunakan teknik pintasan USB untuk menginstal dirinya sendiri ke perangkat eksternal dan menginfeksi target tambahan. Setelah di sistem, malware telah diamati untuk beroperasi melalui dua pintu belakang utama.

“Serangan yang disebabkan oleh Aoqin Dragon biasanya menjatuhkan salah satu dari dua pintu belakang, Mongall dan versi modifikasi dari proyek open source Heyoka, kata Chen.

Chen menambahkan, dalam hal atribusi mereka menemukan beberapa artefak yang menghubungkan aktivitas tersebut dengan kelompok APT berbahasa China, termasuk infrastruktur yang tumpang tindih dengan serangan peretasan yang menargetkan situs web kepresidenan Myanmar pada tahun 2014.

Selain itu, engan mempertimbangkan upaya jangka panjang dan serangan yang ditargetkan terus menerus selama beberapa tahun terakhir, pihaknya menilai motif pelaku ancaman berorientasi spionase.

“Kami telah mengamati kelompok Naga Aoqin mengembangkan TTP beberapa kali agar tetap di bawah radar, kami juga menilai kemungkinan mereka juga akan terus memajukan keahlian mereka, menemukan metode baru untuk menghindari deteksi dan tinggal lebih lama di jaringan target mereka, tutup Chen.