APT37 Targetkan Jurnalis dengan Malware GOLDBACKDOOR

APT37 Korea Utara Targetkan Jurnalis - Sebuah kelompok hacker yang terkait dengan Democratic People's Republic of Korea (DRPK) dilaporkan terlibat dalam operasi spear phishing yang menargetkan jurnalis yang meliput negara tersebut. Tujuan utama dari serangan ini adalah untuk memasang backdoor pada sistem Windows yang berhasil terinfeksi.

Kelompok hacker yang dikenal sebagai Ricochet Chollima atau APT37, telah berhasil menyebarkan jenis malware baru yang dikenal sebagai GOLDBACKDOOR. Ricochet Chollima, yang juga dikenal sebagai InkySquid dan ScarCruft, merupakan kelompok hacker yang terkait erat dengan Korea Utara dan terlibat dalam serangan spionase sejak tahun 2016. GOLDBACKDOOR memiliki tumpang tindih teknis dengan malware lain, seperti BLUELIGHT, yang sebelumnya terhubung dengan kelompok ini.

Menurut laporan dari perusahaan keamanan siber Stairwell, jurnalis dianggap sebagai target bernilai tinggi oleh pihak yang bermusuhan. Peretasan terhadap seorang jurnalis dapat memberikan akses ke informasi yang sangat sensitif dan membuka kemungkinan serangan berikutnya terhadap sumber-sumber informasi mereka.

Kaspersky menemukan bukti baru terkait kelompok hacker ini, termasuk penyebaran malware bernama Chinotto yang sebelumnya tidak dilaporkan. Serangan siber ini merupakan bagian dari gelombang baru serangan pengawasan yang sangat ditargetkan pada November 2021. Kelompok ini sebelumnya telah menggunakan alat remote access bernama BLUELIGHT.

Alur Penyebaran GOLDBACKDOOR Malware

Investigasi Stairwell terungkap setelah NK News mengungkapkan bahwa pesan spear phishing dikirim dari alamat email pribadi mantan pejabat intelijen Korea Selatan. Pesan tersebut berisi tautan untuk mengunduh arsip ZIP yang meniru portal berita tentang Korea Utara. Dalam proses infeksi multi-stage, GOLDBACKDOOR diinstal untuk menghindari deteksi.

GOLDBACKDOOR dirancang sebagai file Portable Executable yang dapat mengambil perintah dari server jarak jauh. Fungsinya mencakup mengunggah dan mengunduh file, merekam data, dan bahkan menghapus dirinya sendiri dari jarak jauh pada PC yang terinfeksi.

Silas Cutler dari Stairwell menegaskan bahwa selama dekade terakhir, Democratic People's Republic of Korea (DPRK) semakin mengadopsi operasi siber sebagai cara penting untuk mendukung pemerintah. Dalam serangan ini, penargetan peneliti, pembangkang, dan jurnalis tetap menjadi area vital, dan cybersecurity awareness menjadi kunci untuk melindungi operasi intelijen negara.