Bagaimana Lotus Blossom Menggunakan Sagerunex dalam Serangan Siber

Lotus Blossom, juga dikenal sebagai Spring Dragon, Thrip, Billbug atau Bronze Elgin, adalah kelompok peretas atau hacker asal China yang telah diduga beroperasi dan aktif sejak 2009. Mereka dikenal karena menargetkan berbagai sektor strategis, termasuk pemerintahan, manufaktur, telekomunikasi, dan media di kawasan Asia, seperti Filipina, Vietnam, Hong Kong, dan Taiwan. Salah satu alat utama yang mereka gunakan dalam serangan siber adalah malware Sagerunex, sebuah backdoor canggih yang memungkinkan akses jangka panjang ke sistem korban. Dengan kemampuan untuk mengumpulkan informasi sensitif, mengenkripsi data, dan mengekstraknya ke server kendali mereka, Sagerunex telah menjadi ancaman serius bagi keamanan organisasi yang diserang. Keberlanjutan operasi Lotus Blossom dan kemampuannya dalam mengembangkan varian baru malware ini menyoroti betapa pentingnya langkah-langkah pencegahan dan deteksi dini dalam menghadapi ancaman siber tingkat tinggi.

Mengenali Kelompok Peretas Lotus Blossom

Lotus Blossom, juga dikenal dengan nama Billbug, Bronze Elgin, Spring Dragon, dan Thrip, adalah kelompok peretas yang telah aktif setidaknya sejak 2009. Kelompok ini terkenal karena menargetkan sektor pemerintahan, manufaktur, telekomunikasi, dan media di berbagai negara Asia, termasuk Filipina, Vietnam, Hong Kong, dan Taiwan. Dengan mengandalkan serangkaian serangan yang dirancang untuk mempertahankan akses dalam jangka panjang, Lotus Blossom terus mengembangkan dan memperbarui alat peretasannya, termasuk varian terbaru dari malware Sagerunex. Keberlanjutan aktivitas mereka menunjukkan tingkat ancaman yang tinggi bagi organisasi yang menjadi sasaran.

Banyak laporan keamanan siber mengaitkan Lotus Blossom dengan aktivitas peretasan yang diduga berasal dari China. Kelompok ini pertama kali terungkap secara luas pada Juni 2018 oleh Symantec, yang mendokumentasikan kampanye serangannya terhadap berbagai lembaga, termasuk otoritas sertifikat digital dan badan pemerintahan. Pada akhir 2022, Symantec juga melaporkan bagaimana Lotus Blossom menggunakan berbagai backdoor, termasuk Hannotog dan Sagerunex, untuk menyusup ke jaringan target dan mencuri informasi sensitif. Meskipun metode akses awal mereka dalam serangan terbaru masih belum diketahui, Lotus Blossom memiliki sejarah dalam memanfaatkan teknik spear-phishing dan watering hole untuk menginfeksi sistem targetnya.

Salah satu strategi utama Lotus Blossom adalah penggunaan malware Sagerunex yang terus berevolusi dari versi sebelumnya, yakni Evora. Mereka memanfaatkan layanan sah seperti Dropbox, X (Twitter), dan Zimbra untuk menjalankan komunikasi command-and-control (C2), yang membuat aktivitas jahat mereka lebih sulit dideteksi. Varian Zimbra dari Sagerunex, misalnya, tidak hanya mengumpulkan informasi korban tetapi juga memungkinkan kontrol jarak jauh dengan perintah yang dikirim melalui kotak masuk Zimbra. Dengan pendekatan yang semakin canggih dan metode penyamaran yang efektif, Lotus Blossom tetap menjadi ancaman besar bagi keamanan siber di kawasan Asia.

Baca juga: Eksploitasi ChatGPT: Bagaimana AI Bisa Disalahgunakan untuk Kejahatan?

Sagerunex: Senjata Andalan Lotus Blossom

Sagerunex adalah malware yang telah digunakan oleh kelompok peretas Lotus Blossom sejak 2016 dan terus berkembang untuk menjadi lebih canggih. Malware ini dirancang agar bisa bertahan lama di sistem yang sudah terinfeksi, memungkinkan peretas untuk mengakses dan mengendalikan perangkat korban dalam jangka waktu yang panjang. Lotus Blossom terus memperbarui Sagerunex dengan fitur baru, termasuk penggunaan layanan populer seperti Dropbox, X (Twitter), dan Zimbra untuk menyembunyikan aktivitas mereka. Dengan cara ini, komunikasi malware dengan server peretas tidak terlihat mencurigakan, sehingga lebih sulit dideteksi oleh sistem keamanan.

Sagerunex merupakan versi yang lebih canggih dari malware sebelumnya yang disebut Billbug atau Evora. Dalam serangan sebelumnya, Lotus Blossom menggunakan Billbug untuk menginfeksi sistem target, tetapi kini mereka mengembangkan Sagerunex dengan teknik yang lebih halus dan sulit dilacak. Malware ini bisa masuk ke dalam jaringan korban melalui berbagai cara, seperti email phishing atau situs web berbahaya, lalu tetap tersembunyi sambil terus mengumpulkan data. Dengan memanfaatkan layanan yang biasa digunakan sehari-hari, Sagerunex dapat berkomunikasi dengan peretas tanpa menarik perhatian, sehingga korban tidak menyadari bahwa perangkat mereka sudah dikendalikan dari jarak jauh.

Sebagai malware jenis backdoor, Sagerunex memungkinkan peretas untuk mengakses sistem korban tanpa izin dan mencuri data sensitif. Setelah berhasil masuk, malware ini akan mengumpulkan informasi penting dari komputer atau jaringan yang terinfeksi, mengenkripsinya, lalu mengirimkan data tersebut ke server peretas. Pada versi Zimbra, Sagerunex bahkan bisa membaca perintah yang dikirim melalui email dan menjalankan instruksi dari peretas secara otomatis. Setelah tugasnya selesai, malware ini akan menyimpan hasilnya dalam file tersembunyi yang bisa diambil kapan saja oleh peretas. Dengan teknik yang semakin canggih, Sagerunex menjadi salah satu ancaman berbahaya yang sulit dideteksi dan diatasi oleh sistem keamanan biasa.

Teknik Serangan Lotus Blossom dengan Sagerunex

Lotus Blossom menggunakan berbagai metode canggih untuk menyusup ke dalam sistem target dan mempertahankan aksesnya dalam jangka panjang. Dengan mengandalkan malware Sagerunex, kelompok ini dapat menginfeksi perangkat korban, mencuri informasi sensitif, dan mengirimkannya ke server mereka tanpa terdeteksi. Serangan ini biasanya dimulai dengan teknik infiltrasi yang bertujuan untuk mendapatkan akses awal ke sistem, kemudian dilanjutkan dengan mekanisme pengendalian jaringan untuk mempertahankan koneksi, sebelum akhirnya melakukan eksploitasi dan eksfiltrasi data.

Metode Infiltrasi

Agar bisa menginfeksi target, Lotus Blossom mengandalkan dua metode utama, yaitu spear-phishing dan watering hole attack.

• Spear-phishing: Dalam teknik ini, pelaku mengirimkan email berisi lampiran atau tautan berbahaya yang dirancang untuk menipu korban agar membuka dan menjalankannya. Email ini sering kali dibuat agar terlihat seolah-olah berasal dari sumber yang terpercaya, seperti rekan kerja atau institusi resmi, sehingga meningkatkan kemungkinan korban tertipu dan mengunduh malware Sagerunex.
• Watering hole attack: Dalam serangan ini, Lotus Blossom menginfeksi situs web yang sering dikunjungi oleh target, misalnya portal internal perusahaan atau situs berita yang relevan dengan industri mereka. Ketika korban mengakses situs yang telah terinfeksi, malware secara otomatis masuk ke dalam perangkat mereka tanpa disadari. Teknik ini sangat efektif karena memanfaatkan kebiasaan pengguna dalam mengakses sumber yang tampaknya aman.

Teknik Pengendalian Jaringan

Setelah berhasil masuk ke sistem target, Lotus Blossom menggunakan layanan yang umum digunakan sehari-hari untuk menyamarkan aktivitasnya dan menghindari deteksi.

• Penggunaan Dropbox, X (Twitter), dan Zimbra sebagai Command and Control (C2): Sagerunex menggunakan platform ini sebagai jalur komunikasi antara perangkat korban dan server peretas. Dengan mengirimkan dan menerima perintah melalui layanan sah seperti Dropbox atau X (Twitter), aktivitas malware ini terlihat seperti lalu lintas internet biasa, sehingga sulit dideteksi oleh sistem keamanan.
• Mekanisme backdoor melalui Zimbra webmail: Salah satu versi Sagerunex dirancang khusus untuk bekerja dengan layanan email Zimbra. Malware ini tidak hanya mengumpulkan informasi dari korban tetapi juga memungkinkan peretas mengendalikan perangkat melalui perintah yang dikirim dalam email. Jika ada perintah dalam inbox yang sesuai dengan pola tertentu, malware akan mengunduh dan mengeksekusinya. Jika tidak ada perintah yang relevan, malware akan menghapus email tersebut dan menunggu instruksi berikutnya.

Langkah Eksploitasi dan Eksfiltrasi Data

Setelah mendapatkan akses dan mengendalikan perangkat korban, Lotus Blossom mulai mengumpulkan dan mengirimkan data sensitif ke server mereka.

• Pengumpulan informasi host target: Sagerunex dapat mengeksekusi perintah seperti net, tasklist, ipconfig, dan netstat untuk mengidentifikasi informasi sistem, perangkat yang terhubung, serta status jaringan korban.
• Ekstraksi data sensitif dan pengiriman ke server Lotus Blossom: Setelah mengumpulkan informasi yang dibutuhkan, malware akan mengenkripsinya sebelum dikirim ke server peretas melalui jalur komunikasi yang telah dikonfigurasi sebelumnya, seperti Dropbox atau Zimbra.
• Pembuatan arsip RAR berisi hasil eksekusi perintah yang tersimpan di folder draft & trash: Untuk menyembunyikan aktivitasnya, malware menyimpan hasil perintah dalam file arsip RAR yang ditempatkan di folder draft atau trash pada akun email korban. Dengan cara ini, data bisa dieksfiltrasi tanpa menimbulkan kecurigaan karena tidak ada pengiriman email yang terlihat secara langsung.

Dengan teknik yang semakin canggih dan penggunaan layanan sah untuk menyamarkan aktivitas mereka, serangan Lotus Blossom dengan Sagerunex menjadi semakin sulit dideteksi dan menimbulkan ancaman besar bagi organisasi yang menjadi targetnya.

Variasi Sagerunex dan Taktik Persembunyian

Sagerunex memiliki beberapa varian dengan fungsi yang sedikit berbeda, tergantung pada infrastruktur yang digunakan untuk berkomunikasi dengan server peretas. Versi Dropbox, X (Twitter), dan Zimbra dari Sagerunex menunjukkan bagaimana Lotus Blossom mengeksploitasi layanan populer untuk menyembunyikan aktivitas jahat mereka. Varian Dropbox dan X telah digunakan antara 2018 hingga 2022, sementara varian Zimbra diketahui aktif sejak 2019. Varian Zimbra memiliki fitur unik yang memungkinkan malware menerima perintah langsung melalui kotak masuk email korban, sedangkan versi Dropbox dan X lebih berfokus pada pengiriman data ke server peretas. 

Beberapa versi terbaru dari Sagerunex juga ditemukan mengandung kode debug, yang menunjukkan bahwa Lotus Blossom masih dalam tahap pengembangan dan penyempurnaan malware ini untuk meningkatkan efektivitasnya. Untuk menghindari deteksi, Lotus Blossom menggunakan strategi penyamaran yang sangat canggih. Mereka menyalahgunakan layanan cloud dan email sebagai saluran komunikasi, sehingga lalu lintas data yang dihasilkan tampak seperti aktivitas normal. Selain itu, jika akses internet di jaringan target terbatas, Lotus Blossom menggunakan Venom proxy tool, sebuah perangkat lunak sumber terbuka yang memungkinkan mereka membuat jalur komunikasi alternatif antara komputer yang terisolasi dan jaringan eksternal. 

Dengan cara ini, Sagerunex tetap bisa beroperasi meskipun sistem keamanan telah menerapkan pembatasan akses internet. Pendekatan ini membuat aktivitas mereka sulit dideteksi oleh solusi keamanan tradisional, karena semua komunikasi malware tampak seperti penggunaan aplikasi sehari-hari yang sah.

Dampak dan Ancaman bagi Keamanan Siber Global

Serangan Lotus Blossom dengan Sagerunex menargetkan lembaga pemerintahan dan perusahaan strategis, menjadikannya ancaman serius bagi keamanan siber global. Dengan fokus pada sektor telekomunikasi, manufaktur, dan media, kelompok ini dapat mencuri data sensitif yang berharga, termasuk dokumen rahasia, informasi intelijen, dan kredensial akses sistem penting. Jika dibiarkan, serangan ini bisa melemahkan keamanan nasional negara yang menjadi sasaran serta mengganggu operasional industri yang bergantung pada integritas data mereka. 

Karena Sagerunex dapat bertahan dalam sistem korban dalam waktu lama tanpa terdeteksi, serangan ini memungkinkan Lotus Blossom melakukan spionase jangka panjang, yang dapat berdampak besar terhadap stabilitas politik dan ekonomi targetnya. Selain Sagerunex, Lotus Blossom juga menggunakan malware tambahan untuk meningkatkan efektivitas serangannya. Salah satunya adalah cookie stealer, yang memungkinkan mereka mencuri kredensial login dari browser korban, sehingga dapat mengakses akun penting tanpa perlu memasukkan kata sandi. 

Mereka juga menggunakan alat peningkatan hak akses, yang memberi mereka kontrol penuh atas sistem yang telah terinfeksi, bahkan jika akun yang mereka gunakan awalnya memiliki hak akses terbatas. Dengan kombinasi berbagai teknik ini, Lotus Blossom tidak hanya mencuri data tetapi juga dapat memodifikasi sistem korban, menanam malware lain, atau bahkan merusak infrastruktur kritikal untuk kepentingan jangka panjang mereka.

Cara Melindungi Diri dari Serangan Metasploit

Untuk melindungi organisasi dari ancaman Lotus Blossom dan malware Sagerunex, penting untuk menerapkan strategi deteksi dan pencegahan yang efektif. Salah satu langkah utama adalah menggunakan threat intelligence untuk mendeteksi pola serangan yang digunakan kelompok ini dan menganalisis log jaringan guna mengidentifikasi aktivitas mencurigakan. Karena Lotus Blossom sering menyalahgunakan layanan cloud seperti Dropbox, X (Twitter), dan Zimbra untuk komunikasi malware, perusahaan juga perlu memantau anomali akses di layanan cloud mereka. Jika terdapat aktivitas login yang tidak biasa, transfer data mencurigakan, atau komunikasi dengan domain yang tidak dikenal, sistem harus segera mengeluarkan peringatan untuk dilakukan investigasi lebih lanjut.

Selain pencegahan, organisasi juga harus memiliki strategi mitigasi dan respons insiden yang kuat. Mengadopsi zero trust security framework sangat penting, di mana setiap akses harus diverifikasi secara ketat sebelum diberikan izin, termasuk untuk perangkat dan pengguna internal. Selain itu, perusahaan harus menerapkan kebijakan keamanan email dan proxy server yang ketat untuk mencegah serangan phishing dan penggunaan layanan proxy ilegal seperti Venom, yang digunakan Lotus Blossom untuk menghindari pembatasan jaringan. Dengan memastikan bahwa hanya komunikasi yang sah yang dapat melewati jaringan perusahaan, serta melakukan edukasi karyawan tentang ancaman phishing dan watering hole attack, organisasi dapat secara signifikan mengurangi risiko serangan dari kelompok peretas ini.

Baca juga: Dampak Serangan Bashe Ransomware terhadap Sistem Keuangan

Kesimpulan

Memahami ancaman dari kelompok APT (Advanced Persistent Threat) seperti Lotus Blossom sangat penting bagi organisasi yang bergerak di sektor strategis. Dengan serangan yang terus berkembang, deteksi dini melalui threat intelligence dan strategi mitigasi seperti zero trust security menjadi kunci untuk melindungi sistem dari infeksi malware seperti Sagerunex. Mengingat kelompok ini terus mengembangkan teknik dan varian baru, termasuk penyalahgunaan layanan sah untuk menyembunyikan aktivitas mereka, perusahaan harus selalu waspada dan memperbarui pertahanan siber mereka agar tetap selangkah lebih maju dalam menghadapi ancaman yang semakin canggih.