Ancaman siber terus berkembang dengan cara yang semakin licik. Bukan lagi sekadar file mencurigakan atau link aneh, kini hacker justru memanfaatkan nama besar dan kepercayaan pengguna terhadap brand keamanan siber. Inilah yang terungkap dari temuan terbaru para peneliti keamanan di Seqrite Labs, yang mengidentifikasi sebuah kampanye serangan bernama Operation IconCat.
Baca Juga : Waspada! Kerentanan WSUS di Windows Server Bisa Jadi Jalan Masuk Hacker
Kampanye ini secara khusus menargetkan organisasi di Israel dengan memanfaatkan dokumen berbahaya yang dirancang menyerupai alat keamanan resmi. Sekilas terlihat aman, padahal di balik tampilannya, file tersebut menyimpan ancaman serius.
Awal Mula Operation IconCat
.webp "Awal Mula Operation IconCat")
Menurut laporan Seqrite Labs, serangan ini mulai terdeteksi sejak November 2025. Dalam kurun waktu singkat, beberapa perusahaan dari berbagai sektor berhasil dikompromikan, mulai dari teknologi informasi, jasa perekrutan tenaga kerja, hingga pengembangan perangkat lunak.
Yang membuat serangan ini berbahaya bukan hanya teknologi yang digunakan, tetapi juga pendekatan psikologisnya. Para pelaku ancaman (threat actors) sengaja membuat dokumen palsu yang meniru tampilan vendor antivirus terpercaya seperti Check Point dan SentinelOne. Dengan mengandalkan nama besar tersebut, korban cenderung menurunkan kewaspadaan.
Saat dokumen dibuka, korban tidak sadar bahwa mereka sedang mengunduh malware berbahaya yang tersembunyi di balik nama dan tampilan yang meyakinkan. Kombinasi social engineering dan teknik teknis inilah yang membuat Operation IconCat mampu menembus pertahanan keamanan tradisional.
Dua Jalur Serangan dengan Pola Serupa
.webp "Dua Jalur Serangan dengan Pola Serupa")
Operation IconCat terdiri dari dua rantai serangan utama. Keduanya menggunakan taktik yang mirip, namun membawa jenis malware yang berbeda.
-
Rantai pertama memanfaatkan dokumen PDF sebagai media serangan.
-
Rantai kedua menggunakan dokumen Microsoft Word yang di dalamnya disisipkan kode tersembunyi.
Para analis Seqrite mulai mengidentifikasi malware ini setelah menemukan unggahan file mencurigakan dari Israel pada tanggal 16 dan 17 November 2025, tepat setelah paragraf kedua dari dokumen yang dianalisis.
PDF Palsu Berkedok Alat Keamanan
Gelombang serangan pertama menggunakan file PDF bernama help.pdf. Dokumen ini tampak seperti manual resmi pemindai keamanan milik Check Point. Di dalamnya terdapat instruksi yang terlihat profesional, lengkap dengan tangkapan layar yang meyakinkan.
PDF tersebut mengarahkan pengguna untuk mengunduh sebuah alat bernama “Security Scanner” melalui layanan Dropbox. File unduhan ini dilindungi kata sandi “cloudstar”, yang semakin memperkuat kesan bahwa file tersebut memang sah dan aman.
Namun kenyataannya, PDF ini berfungsi sebagai pintu masuk untuk menyebarkan malware bernama PYTRIC. Malware ini berbasis Python dan dikemas menggunakan teknologi PyInstaller, sehingga terlihat seperti aplikasi biasa saat dijalankan.
Kemampuan PYTRIC yang Mengkhawatirkan
PYTRIC bukan malware biasa. Hasil analisis menunjukkan bahwa malware ini memiliki kemampuan yang cukup ekstrem. Selain mampu memindai file di seluruh sistem dan memeriksa apakah pengguna memiliki hak administrator, PYTRIC juga dilengkapi fungsi destruktif.
Beberapa kemampuannya antara lain:
-
Menghapus data sistem secara menyeluruh
-
Menghapus cadangan (backup) data
-
Melakukan kontrol jarak jauh terhadap perangkat korban
Malware ini berkomunikasi dengan penyerang melalui sebuah bot Telegram bernama “Backup2040”. Dengan mekanisme ini, pelaku bisa mengendalikan perangkat yang terinfeksi dari jarak jauh. Fakta ini menunjukkan bahwa tujuan serangan bukan hanya pencurian data, tetapi juga penghancuran data secara total.
Serangan Kedua dengan Malware Berbasis Rust
Rantai serangan kedua menggunakan pendekatan yang hampir sama, namun dengan malware berbeda bernama RUSTRIC, yang dikembangkan menggunakan bahasa pemrograman Rust.
Dalam skenario ini, korban menerima email spear-phishing yang menyamar sebagai perusahaan HR ternama di Israel, yaitu L.M. Group. Email tersebut menggunakan domain palsu l-m.co.il, yang sangat mirip dengan domain asli dan sulit dikenali secara kasat mata.
Lampiran email berisi dokumen Word yang tampak rusak. Di balik tampilannya, dokumen ini menyimpan macro tersembunyi yang bertugas mengekstrak dan mengeksekusi payload utama begitu dibuka.
Kemampuan Reconnaissance Tingkat Lanjut
RUSTRIC menunjukkan tingkat kecanggihan yang tinggi. Malware ini mampu melakukan pengecekan terhadap 28 produk antivirus berbeda, termasuk nama-nama besar seperti Quick Heal, CrowdStrike, dan Kaspersky. Tujuannya jelas, yaitu memastikan malware bisa berjalan tanpa terdeteksi.
Setelah dijalankan melalui Windows Management Instrumentation (WMI), RUSTRIC mengeksekusi berbagai perintah sistem untuk mengidentifikasi komputer korban dan membangun koneksi ke server yang dikendalikan penyerang.
Baca Juga : Hati-hati Login Palsu! Hacker Pakai Domain .onmicrosoft.com untuk Menjebak Korban
Ancaman Serius yang Perlu Diwaspadai
Operation IconCat menjadi bukti bahwa serangan siber modern tidak lagi mengandalkan eksploit teknis semata, tetapi juga kepercayaan pengguna terhadap brand keamanan. Dengan tampilan yang meyakinkan dan skenario yang matang, serangan ini mampu melewati banyak lapisan pertahanan.
Tim keamanan siber disarankan untuk memperlakukan kampanye ini sebagai ancaman prioritas tinggi. Investigasi menyeluruh dan langkah mitigasi segera sangat diperlukan untuk mencegah kerusakan yang lebih besar, baik dari sisi operasional maupun reputasi organisasi.
