"Operasi Jacana" Mengungkap Pintu Belakang Kustom DinodasRAT

Ancaman malware baru yang dijuluki “DinodasRAT” telah terungkap, setelah digunakan dalam kampanye spionase dunia maya yang ditargetkan terhadap entitas pemerintah di Guyana.

Kampanye tersebut, yang oleh ESET disebut sebagai “Operasi Jacana” yang diambil dari nama burung air asli negara Amerika Selatan tersebut, mungkin terkait dengan (tidak disebutkan namanya) Penyerang siber yang disponsori negara Tiongkok, catat para peneliti.

Kampanye ini dimulai dengan email spear-phishing yang merujuk pada urusan publik dan politik Guyana baru-baru ini. Setelah masuk, penyerang bergerak ke samping di seluruh jaringan internal; DinodasRAT kemudian digunakan untuk mengekstrak file, memanipulasi kunci registri Windows, dan menjalankan perintah Analisis ESET pada hari Kamis tentang operasi Jacana.

Malware ini mendapatkan namanya berdasarkan penggunaan “Din” di awal setiap pengidentifikasi korban yang dikirimkannya kepada penyerang, dan string tersebut mirip dengan nama hobbit kecil Dinodas Brandybuck dari The Lord of the Rings. Mungkin terkait: DinodasRAT menggunakan algoritma enkripsi Tiny untuk mengunci aktivitas komunikasi dan eksfiltrasinya dari pengintaian.

Karya APT Tiongkok?

ESET mengaitkan kampanye dan RAT khusus ini dengan ancaman persisten tingkat lanjut (APT) Tiongkok dengan keyakinan sedang, khususnya berdasarkan penggunaan serangan tersebut. Korplug RAT (alias PlugX) — alat favorit Kelompok ancaman siber yang bersekutu dengan Tiongkok seperti Mustang Panda.

Menurut ESET, serangan tersebut mungkin merupakan pembalasan atas gangguan yang terjadi baru-baru ini dalam hubungan diplomatik Guyana-Tiongkok, seperti penangkapan tiga orang di Guyana dalam penyelidikan pencucian uang yang melibatkan perusahaan-perusahaan Tiongkok. Tuduhan tersebut dibantah oleh kedutaan Tiongkok setempat.

Menariknya, salah satu iming-iming menyebutkan “buronan Guyana di Vietnam,” dan menyajikan malware dari domain sah yang diakhiri dengan gov.vn.

“Domain ini menunjukkan situs web pemerintah Vietnam; oleh karena itu, kami yakin bahwa operator tersebut mampu menyusupi entitas pemerintah Vietnam dan menggunakan infrastrukturnya untuk menampung sampel malware,” kata peneliti ESET Fernando Tavella dalam laporannya – sekali lagi menyatakan bahwa aktivitas tersebut adalah pekerjaan pemain yang lebih canggih.