Hacker Mustang Panda Diduga Menembus Jaringan Internal BIN

General Manager Asia Tenggara di perusahaan keamanan siber Kaspersky, Yeo Siang Tiong, membeberkan bagaimana aktivitas berbahaya kelompok hacker (peretas) bernama Honeymyte alias Mustang Panda atau Temp.Hex. Kaspersky sudah menerbitkan penelitian tentang Advanced Persistent Group (APT) itu sejak 2019. 

Siang Tiong mengatakan Mustang Panda telah aktif selama beberapa tahun. “Mereka telah mengadopsi teknik yang berbeda untuk melakukan serangan, dan telah berfokus pada berbagai profil penargetan,” ujar dia dalam keterangan tertulis, Senin, 13 September 2021.

Terbaru, diduga serangan dari kelompok asal Cina itu menembus jaringan internal Badan Intelijen Negara (BIN) serta sekitar sembilan kementerian dan lembaga di Indonesia. Penyusupan itu ditemukan oleh Insikt Group, divisi penelitian ancaman siber Recorded Future.

Sementara laporan terbaru Kaspersky yang terbit Juli lalu mengungkap sekelompok aktivitas serangan spionase siber terhadap entitas pemerintah di Myanmar dan Filipina setidaknya sejak Oktober 2020. Meskipun awalnya memusatkan perhatian mereka pada Myanmar, para aktor ancaman telah mengalihkan fokus mereka ke Filipina. “Mereka biasanya mendapatkan pijakan awal dalam sistem melalui email spear-phishing dengan tautan unduhan Dropbox,” kata Siang Tiong.

Setelah diklik, tautan itu mengunduh arsip RAR yang disamarkan sebagai dokumen Word yang berisi muatan berbahaya. Setelah diunduh pada sistem, malware mencoba menginfeksi host lain dengan menyebar melalui drive USB yang dapat dilepas.

Jika drive ditemukan, malware membuat direktori tersembunyi di drive, yang kemudian memindahkan semua file korban bersama dengan executable berbahaya. Pakar Kaspersky mengaitkan aktivitas ini dijuluki LuminousMoth yang erat dengan kelompok ancaman Mustang Panda, aktor ancaman berbahasa Cina yang terkenal. “Mereka sudah lama berdiri, dengan kepercayaan diri sedang hingga tinggi,” tutur Siang Tiong.

Mustang Panda memang tertarik mengumpulkan intelijen geopolitik dan ekonomi di Asia dan Afrika. Misalnya, dalam serangan sebelumnya yang dilakukan dari pertengahan 2018, aktor ancaman ini menggunakan implan PlugX, serta skrip PowerShell multi-tahap yang menyerupai CobaltStrike. “Kampanye ini menargetkan entitas pemerintah di Myanmar, Mongolia, Ethiopia, Vietnam, dan Bangladesh,” ujar dia menambahkan.