Kelompok ini secara khusus menargetkan entitas pemerintahan dan organisasi urusan luar negeri di seluruh kawasan Asia Pasifik, dengan fokus utama pada negara-negara seperti Pakistan, Bangladesh, Afghanistan, Nepal, dan Sri Lanka.
Tujuan utama dari serangan ini adalah untuk mencuri informasi yang sangat sensitif, termasuk dokumen, gambar, dan berkas arsip, dengan data WhatsApp menjadi target eksfiltrasi yang signifikan.
Kampanye yang terjadi di tahun 2025 ini menunjukkan perubahan taktik, teknik, dan prosedur (TTP) yang signifikan dari kelompok Mysterious Elephant. Para penyerang kini beralih menggunakan kombinasi alat yang dibuat khusus dan sumber terbuka untuk mencapai tujuan mereka.
Aktor ancaman memanfaatkan kit eksploitasi, email spear-phishing yang dipersonalisasi, dan dokumen berbahaya, di mana setiap serangan disesuaikan untuk korban tertentu guna mendapatkan akses awal ke dalam jaringan. Setelah berhasil masuk, mereka menggunakan berbagai alat dan teknik untuk meningkatkan hak istimewa, bergerak secara lateral, dan mengeksfiltrasi data sensitif.
Skrip PowerShell menjadi fondasi utama operasi Mysterious Elephant, memungkinkan kelompok ini untuk mengeksekusi perintah, menyebarkan malware tambahan, dan mempertahankan persistensi pada sistem yang telah disusupi.
Skrip ini secara cerdik menggunakan alat dan utilitas sistem yang sah untuk melakukan operasi berbahaya. Salah satu alat kunci dalam gudang senjata mereka adalah BabShell, sebuah reverse shell yang memberikan penyerang akses langsung ke mesin yang terinfeksi. Setelah dieksekusi, BabShell mengumpulkan informasi sistem penting seperti nama pengguna, nama komputer, dan alamat MAC untuk mengidentifikasi target secara unik.
BabShell juga berfungsi sebagai landasan peluncuran untuk modul-modul canggih seperti MemLoader HidenDesk, yang mengeksekusi muatan berbahaya di dalam memori sambil memanfaatkan enkripsi dan kompresi untuk menghindari deteksi.
Fokus kampanye ini pada pencurian data WhatsApp sangat menonjol. Para penyerang telah mengembangkan modul khusus yang mampu mengekstrak file yang dibagikan melalui aplikasi tersebut, termasuk dokumen sensitif, foto, dan arsip.
Noushin Shabab, kepala peneliti keamanan di Kaspersky GReAT, menjelaskan bahwa infrastruktur penyerang dibangun untuk kerahasiaan dan ketahanan, menggunakan jaringan domain dan alamat IP, rekaman DNS wildcard, VPS, dan hosting cloud.
Rekaman DNS wildcard memungkinkan kelompok ini menghasilkan subdomain unik untuk setiap permintaan, meningkatkan skala operasi dengan cepat, dan mempersulit pelacakan oleh tim keamanan.
Shabab menekankan pentingnya memahami TTP kelompok, berbagi intelijen ancaman, dan menerapkan langkah-langkah penanggulangan yang efektif untuk mengurangi risiko serangan yang berhasil dan melindungi informasi sensitif. Organisasi juga harus menerapkan langkah-langkah keamanan yang kuat, termasuk pembaruan perangkat lunak secara berkala, pemantauan jaringan, dan pelatihan karyawan.
Untuk memitigasi serangan serupa, Kaspersky merekomendasikan praktik terbaik seperti memastikan agen keamanan diterapkan di semua stasiun kerja, meninjau dan mengendalikan hak istimewa layanan dan akun pengguna, serta menggunakan solusi dari lini produk Kaspersky Next untuk perlindungan real-time.
Selain itu, menerapkan layanan keamanan terkelola seperti Compromise Assessment, Managed Detection and Response (MDR), dan Incident Response, serta memberikan profesional InfoSec visibilitas mendalam tentang ancaman siber melalui Kaspersky Threat Intelligence, juga sangat disarankan.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
