APT Berbahasa Mandarin Menyebarkan Backdoor TinyRCT Baru di Kampanye Asia Tenggara

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Aktor ancaman persisten tingkat lanjut (APT) berbahasa Mandarin telah dikaitkan dengan pintu belakang khusus baru yang disebut TinyRCT sebagai bagian dari serangan siber yang…

Aktor ancaman persisten tingkat lanjut (APT) berbahasa Mandarin telah dikaitkan dengan pintu belakang khusus baru yang disebut TinyRCT sebagai bagian dari serangan siber yang ditujukan pada entitas pemerintah dan infrastruktur penting di Asia Tenggara.

Aktivitas tersebut, khususnya yang ditujukan pada badan usaha milik negara di sektor energi dan pemerintahan, telah dikaitkan dengan aktor ancaman yang disebut CL-STA-1062, yang menurut Palo Alto Networks Unit 42 berbagi tumpang tindih dengan UAT-7237, sebuah kelompok peretasan yang pertama kali ditandai oleh Cisco Talos pada Agustus 2025 sehubungan dengan kampanye yang ditujukan terhadap entitas infrastruktur web di Taiwan.

Dalam satu kampanye yang terdeteksi pada bulan September 2025, pelaku ancaman dikatakan telah menyusup ke entitas pemerintah Asia Tenggara dan menyebarkan web shell untuk mengekstrak data dari server MS SQL. Dalam serangan yang sama, pelaku ancaman diketahui melakukan pengintaian jaringan terhadap entitas pemerintah terpisah di negara yang sama.

“Hal ini menunjukkan adanya upaya untuk mengidentifikasi peluang pergerakan lateral dan memperluas akses mereka. Dalam satu kasus, kami mengamati penyerang melakukan dan mengambil alih seluruh direktori kode sumber server web dari entitas pemerintah,” kata Unit 42, seraya menambahkan bahwa pihaknya mendeteksi pelanggaran di setidaknya 10 organisasi berbeda di Asia Tenggara antara bulan Oktober dan Desember 2025.

Analisis lebih lanjut terhadap infrastruktur kampanye telah mengarah pada penemuan pintu belakang. NET yang sebelumnya tidak berdokumen yang dijuluki TinyRCT ("PerfWatson2. exe"), sebuah trojan akses jarak jauh ringan yang memungkinkan pengintaian sistem, eksekusi perintah, pengunggahan file, pengambilan tangkapan layar, kendali jarak jauh, dan menghapus jejak dirinya sendiri, sambil mengambil langkah-langkah untuk menghindari berjalan di lingkungan kotak pasir.

“Penemuan kami terhadap pintu belakang TinyRCT di infrastruktur penyerang menggarisbawahi kemampuan mereka untuk menyesuaikan alat guna mendapatkan kemampuan tertentu. Kombinasi penargetan infrastruktur penting dan pengembangan malware khusus menunjukkan bahwa aktivitas CL-STA-1062 akan terus menimbulkan ancaman bagi wilayah tersebut.”

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com