Hacker APT Serang Server RDP untuk Sebar Malware dan Bertahan Lama

bacatutorial /

Hacker APT Serang Server RDP untuk Sebar Malware dan Bertahan LamaDunia keamanan siber kembali dihadapkan pada ancaman serius. Salah satu kelompok hacker paling berbahaya yang didukung negara kini активно menargetkan server Remote Desktop Protocol (RDP) di berbagai sektor penting, mulai dari infrastruktur kritis, organisasi pertahanan, hingga instansi pemerintahan.

Baca Juga : Cara Hacker Menyusup Lewat RDP dan Menyebarkan Cephalus Ransomware di Server Windows

Kelompok ini dikenal sebagai APT-C-13, dan juga sering dilacak dengan nama lain seperti Sandworm, APT44, Seashell Blizzard, hingga Voodoo Bear. Mereka bukan pemain baru—aktivitasnya sudah terdeteksi sejak tahun 2009. Namun, kampanye terbaru mereka menunjukkan perubahan strategi yang cukup signifikan.

Alih-alih melakukan serangan destruktif yang cepat dan langsung terlihat, kini mereka beralih ke metode yang lebih senyap. Tujuannya jelas: menyusup dalam jangka panjang untuk mencuri informasi penting tanpa terdeteksi.

Menyamar Jadi File Microsoft Office

Menyamar Jadi File Microsoft Office

Serangan ini dimulai dari sebuah file ISO yang tampak meyakinkan dengan nama Microsoft.Office.2025×64.v2025.iso. File ini disebarkan melalui channel Telegram dan komunitas software bajakan, khususnya yang menyasar pengguna di Ukraina.

Sekilas, file ini terlihat seperti installer Microsoft Office biasa. Tapi saat korban mencoba membuka atau menginstalnya, file tersembunyi seperti auto.exe atau setup.exe langsung berjalan diam-diam di latar belakang.

Teknik ini memanfaatkan social engineering—di mana korban cenderung percaya dengan nama software yang familiar. Setelah aktif, malware akan mulai “mengenali” sistem target dan secara selektif mengunduh modul berbahaya lainnya.

Menurut analis dari 360 Threat Intelligence Center, kelompok APT-C-13 menggunakan framework modular bernama Tambur, Sumbur, dan Kalambur untuk menjalankan aksinya.

Dari Serangan Cepat ke Infiltrasi Diam-Diam

Peneliti keamanan menyebut perubahan ini sebagai pergeseran dari “instantaneous disruption” menjadi “intelligence-driven persistent parasitism”. Sederhananya, mereka tidak lagi menyerang secara frontal, tapi memilih “menumpang hidup” di dalam sistem target dalam waktu lama.

Salah satu korban yang terkonfirmasi adalah seorang teknisi di pabrik milik negara Ukraina yang bergerak di bidang pembuatan kapal dan mesin. Dalam kasus ini, hacker sudah lebih dulu mendapatkan akses mendalam tanpa terdeteksi.

Yang membuat serangan ini semakin berbahaya adalah metode yang digunakan. Mereka memanfaatkan tools bawaan Windows seperti:

  • Scheduled Tasks
  • SSH
  • PowerShell
  • RDP

Karena terlihat seperti aktivitas normal, banyak antivirus gagal mendeteksinya. Akibatnya, hacker bisa bertahan selama berbulan-bulan sambil terus mencuri data sensitif.

Cara Kerja

Cara Kerja

Bagian paling mengkhawatirkan dari serangan ini adalah bagaimana mereka mempertahankan akses tanpa terdeteksi.

Modul Tambur membuat scheduled task bernama “Tambur” dan “Protector” di direktori:

\Microsoft\Windows\WDI\Protector\

Lokasi ini sengaja dibuat menyerupai komponen asli Windows agar tidak mencurigakan.

Task ini berjalan dengan hak akses administrator penuh dan menggunakan password bawaan 1qaz@WSX untuk menjaga koneksi RDP tetap aktif.

Sementara itu, modul Kalambur dan Sumbur memperluas kontrol dengan menyamarkan komunikasi melalui jaringan anonim Tor, sehingga lokasi asli penyerang sulit dilacak.

Teknik lainnya adalah SSH reverse tunneling, yang memungkinkan port RDP korban (3389) dihubungkan ke server jarak jauh milik attacker. Artinya, hacker bisa login ke sistem dari mana saja tanpa terdeteksi.

Lebih canggih lagi, Sumbur menyamar sebagai layanan update Microsoft Edge. Ia menyimpan script berbahaya di folder palsu dan menjalankannya setiap 4 jam agar terlihat seperti aktivitas normal.

Menonaktifkan Sistem Keamanan dari Dalam

Serangan ini juga dilengkapi modul tambahan bernama DemiMur. Fungsinya adalah menyisipkan sertifikat root palsu (DemiMurCA.crt) ke dalam sistem.

Akibatnya, Windows akan menganggap semua file berbahaya berikutnya sebagai tepercaya dan resmi.

Tidak berhenti di situ, hacker juga memaksa Microsoft Defender untuk mengabaikan seluruh drive C. Ini membuat sistem keamanan bawaan menjadi tidak efektif, dan membuka jalan bagi attacker untuk beroperasi tanpa gangguan.

Dampak dan Langkah Pencegahan

Serangan ini bukan hanya canggih, tapi juga sulit dideteksi. Bahkan, ketika organisasi mulai curiga, biasanya hacker sudah lebih dulu mendapatkan data yang mereka butuhkan.

Untuk mengurangi risiko, ada beberapa langkah penting yang bisa dilakukan:

  • Blokir file ISO tidak resmi dan tools aktivasi ilegal
  • Pantau aktivitas jaringan internal, terutama perubahan registry dan scheduled task
  • Awasi penggunaan PowerShell yang mencurigakan
  • Pastikan sistem keamanan selalu diperbarui
  • Terapkan monitoring khusus untuk aktivitas RDP dan SSH

Bagi organisasi besar dan industri strategis, audit internal dan pembuatan sistem deteksi dini menjadi hal yang wajib.

Baca Juga : 8 Aplikasi Remote Desktop Gratis Tanpa Ribet, Cocok untuk Pemula dan Profesional

Kesimpulan

Serangan APT-C-13 ini jadi pengingat bahwa ancaman siber terus berkembang, bukan hanya dari sisi teknologi tapi juga strategi. Mereka tidak lagi terburu-buru, melainkan bermain sabar dan rapi.

Karena itu, penting bagi individu maupun organisasi untuk selalu waspada. Jangan mudah percaya dengan file yang terlihat “resmi”, dan pastikan sistem keamanan selalu dalam kondisi optimal.

Di era digital seperti sekarang, keamanan bukan lagi pilihan—tapi kebutuhan utama.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *