Lotus Blossom, juga dikenal sebagai Spring Dragon, Thrip, Billbug atau Bronze Elgin, adalah kelompok peretas atau hacker asal China yang telah diduga beroperasi dan aktif sejak 2009. Mereka dikenal karena menargetkan berbagai sektor strategis, termasuk pemerintahan, manufaktur, telekomunikasi, dan media di kawasan Asia, seperti Filipina, Vietnam, Hong Kong, dan Taiwan. Salah satu alat utama yang mereka gunakan dalam serangan siber adalah malware Sagerunex, sebuah backdoor canggih yang memungkinkan akses jangka panjang ke sistem korban. Dengan kemampuan untuk mengumpulkan informasi sensitif, mengenkripsi data, dan mengekstraknya ke server kendali mereka, Sagerunex telah menjadi ancaman serius bagi keamanan organisasi yang diserang. Keberlanjutan operasi Lotus Blossom dan kemampuannya dalam mengembangkan varian baru malware ini menyoroti betapa pentingnya langkah-langkah pencegahan dan deteksi dini dalam menghadapi ancaman siber tingkat tinggi.
Lotus Blossom, juga dikenal dengan nama Billbug, Bronze Elgin, Spring Dragon, dan Thrip, adalah kelompok peretas yang telah aktif setidaknya sejak 2009. Kelompok ini terkenal karena menargetkan sektor pemerintahan, manufaktur, telekomunikasi, dan media di berbagai negara Asia, termasuk Filipina, Vietnam, Hong Kong, dan Taiwan. Dengan mengandalkan serangkaian serangan yang dirancang untuk mempertahankan akses dalam jangka panjang, Lotus Blossom terus mengembangkan dan memperbarui alat peretasannya, termasuk varian terbaru dari malware Sagerunex. Keberlanjutan aktivitas mereka menunjukkan tingkat ancaman yang tinggi bagi organisasi yang menjadi sasaran.
Banyak laporan keamanan siber mengaitkan Lotus Blossom dengan aktivitas peretasan yang diduga berasal dari China. Kelompok ini pertama kali terungkap secara luas pada Juni 2018 oleh Symantec, yang mendokumentasikan kampanye serangannya terhadap berbagai lembaga, termasuk otoritas sertifikat digital dan badan pemerintahan. Pada akhir 2022, Symantec juga melaporkan bagaimana Lotus Blossom menggunakan berbagai backdoor, termasuk Hannotog dan Sagerunex, untuk menyusup ke jaringan target dan mencuri informasi sensitif. Meskipun metode akses awal mereka dalam serangan terbaru masih belum diketahui, Lotus Blossom memiliki sejarah dalam memanfaatkan teknik spear-phishing dan watering hole untuk menginfeksi sistem targetnya.
Salah satu strategi utama Lotus Blossom adalah penggunaan malware Sagerunex yang terus berevolusi dari versi sebelumnya, yakni Evora. Mereka memanfaatkan layanan sah seperti Dropbox, X (Twitter), dan Zimbra untuk menjalankan komunikasi command-and-control (C2), yang membuat aktivitas jahat mereka lebih sulit dideteksi. Varian Zimbra dari Sagerunex, misalnya, tidak hanya mengumpulkan informasi korban tetapi juga memungkinkan kontrol jarak jauh dengan perintah yang dikirim melalui kotak masuk Zimbra. Dengan pendekatan yang semakin canggih dan metode penyamaran yang efektif, Lotus Blossom tetap menjadi ancaman besar bagi keamanan siber di kawasan Asia.
Baca juga: Eksploitasi ChatGPT: Bagaimana AI Bisa Disalahgunakan untuk Kejahatan?
Sagerunex adalah malware yang telah digunakan oleh kelompok peretas Lotus Blossom sejak 2016 dan terus berkembang untuk menjadi lebih canggih. Malware ini dirancang agar bisa bertahan lama di sistem yang sudah terinfeksi, memungkinkan peretas untuk mengakses dan mengendalikan perangkat korban dalam jangka waktu yang panjang. Lotus Blossom terus memperbarui Sagerunex dengan fitur baru, termasuk penggunaan layanan populer seperti Dropbox, X (Twitter), dan Zimbra untuk menyembunyikan aktivitas mereka. Dengan cara ini, komunikasi malware dengan server peretas tidak terlihat mencurigakan, sehingga lebih sulit dideteksi oleh sistem keamanan.
Sagerunex merupakan versi yang lebih canggih dari malware sebelumnya yang disebut Billbug atau Evora. Dalam serangan sebelumnya, Lotus Blossom menggunakan Billbug untuk menginfeksi sistem target, tetapi kini mereka mengembangkan Sagerunex dengan teknik yang lebih halus dan sulit dilacak. Malware ini bisa masuk ke dalam jaringan korban melalui berbagai cara, seperti email phishing atau situs web berbahaya, lalu tetap tersembunyi sambil terus mengumpulkan data. Dengan memanfaatkan layanan yang biasa digunakan sehari-hari, Sagerunex dapat berkomunikasi dengan peretas tanpa menarik perhatian, sehingga korban tidak menyadari bahwa perangkat mereka sudah dikendalikan dari jarak jauh.
Sebagai malware jenis backdoor, Sagerunex memungkinkan peretas untuk mengakses sistem korban tanpa izin dan mencuri data sensitif. Setelah berhasil masuk, malware ini akan mengumpulkan informasi penting dari komputer atau jaringan yang terinfeksi, mengenkripsinya, lalu mengirimkan data tersebut ke server peretas. Pada versi Zimbra, Sagerunex bahkan bisa membaca perintah yang dikirim melalui email dan menjalankan instruksi dari peretas secara otomatis. Setelah tugasnya selesai, malware ini akan menyimpan hasilnya dalam file tersembunyi yang bisa diambil kapan saja oleh peretas. Dengan teknik yang semakin canggih, Sagerunex menjadi salah satu ancaman berbahaya yang sulit dideteksi dan diatasi oleh sistem keamanan biasa.
Lotus Blossom menggunakan berbagai metode canggih untuk menyusup ke dalam sistem target dan mempertahankan aksesnya dalam jangka panjang. Dengan mengandalkan malware Sagerunex, kelompok ini dapat menginfeksi perangkat korban, mencuri informasi sensitif, dan mengirimkannya ke server mereka tanpa terdeteksi. Serangan ini biasanya dimulai dengan teknik infiltrasi yang bertujuan untuk mendapatkan akses awal ke sistem, kemudian dilanjutkan dengan mekanisme pengendalian jaringan untuk mempertahankan koneksi, sebelum akhirnya melakukan eksploitasi dan eksfiltrasi data.
Agar bisa menginfeksi target, Lotus Blossom mengandalkan dua metode utama, yaitu spear-phishing dan watering hole attack.
Setelah berhasil masuk ke sistem target, Lotus Blossom menggunakan layanan yang umum digunakan sehari-hari untuk menyamarkan aktivitasnya dan menghindari deteksi.
Setelah mendapatkan akses dan mengendalikan perangkat korban, Lotus Blossom mulai mengumpulkan dan mengirimkan data sensitif ke server mereka.
Dengan teknik yang semakin canggih dan penggunaan layanan sah untuk menyamarkan aktivitas mereka, serangan Lotus Blossom dengan Sagerunex menjadi semakin sulit dideteksi dan menimbulkan ancaman besar bagi organisasi yang menjadi targetnya.
Sagerunex memiliki beberapa varian dengan fungsi yang sedikit berbeda, tergantung pada infrastruktur yang digunakan untuk berkomunikasi dengan server peretas. Versi Dropbox, X (Twitter), dan Zimbra dari Sagerunex menunjukkan bagaimana Lotus Blossom mengeksploitasi layanan populer untuk menyembunyikan aktivitas jahat mereka. Varian Dropbox dan X telah digunakan antara 2018 hingga 2022, sementara varian Zimbra diketahui aktif sejak 2019. Varian Zimbra memiliki fitur unik yang memungkinkan malware menerima perintah langsung melalui kotak masuk email korban, sedangkan versi Dropbox dan X lebih berfokus pada pengiriman data ke server peretas.
Beberapa versi terbaru dari Sagerunex juga ditemukan mengandung kode debug, yang menunjukkan bahwa Lotus Blossom masih dalam tahap pengembangan dan penyempurnaan malware ini untuk meningkatkan efektivitasnya. Untuk menghindari deteksi, Lotus Blossom menggunakan strategi penyamaran yang sangat canggih. Mereka menyalahgunakan layanan cloud dan email sebagai saluran komunikasi, sehingga lalu lintas data yang dihasilkan tampak seperti aktivitas normal. Selain itu, jika akses internet di jaringan target terbatas, Lotus Blossom menggunakan Venom proxy tool, sebuah perangkat lunak sumber terbuka yang memungkinkan mereka membuat jalur komunikasi alternatif antara komputer yang terisolasi dan jaringan eksternal.
Dengan cara ini, Sagerunex tetap bisa beroperasi meskipun sistem keamanan telah menerapkan pembatasan akses internet. Pendekatan ini membuat aktivitas mereka sulit dideteksi oleh solusi keamanan tradisional, karena semua komunikasi malware tampak seperti penggunaan aplikasi sehari-hari yang sah.
Serangan Lotus Blossom dengan Sagerunex menargetkan lembaga pemerintahan dan perusahaan strategis, menjadikannya ancaman serius bagi keamanan siber global. Dengan fokus pada sektor telekomunikasi, manufaktur, dan media, kelompok ini dapat mencuri data sensitif yang berharga, termasuk dokumen rahasia, informasi intelijen, dan kredensial akses sistem penting. Jika dibiarkan, serangan ini bisa melemahkan keamanan nasional negara yang menjadi sasaran serta mengganggu operasional industri yang bergantung pada integritas data mereka.
Karena Sagerunex dapat bertahan dalam sistem korban dalam waktu lama tanpa terdeteksi, serangan ini memungkinkan Lotus Blossom melakukan spionase jangka panjang, yang dapat berdampak besar terhadap stabilitas politik dan ekonomi targetnya. Selain Sagerunex, Lotus Blossom juga menggunakan malware tambahan untuk meningkatkan efektivitas serangannya. Salah satunya adalah cookie stealer, yang memungkinkan mereka mencuri kredensial login dari browser korban, sehingga dapat mengakses akun penting tanpa perlu memasukkan kata sandi.
Mereka juga menggunakan alat peningkatan hak akses, yang memberi mereka kontrol penuh atas sistem yang telah terinfeksi, bahkan jika akun yang mereka gunakan awalnya memiliki hak akses terbatas. Dengan kombinasi berbagai teknik ini, Lotus Blossom tidak hanya mencuri data tetapi juga dapat memodifikasi sistem korban, menanam malware lain, atau bahkan merusak infrastruktur kritikal untuk kepentingan jangka panjang mereka.
Untuk melindungi organisasi dari ancaman Lotus Blossom dan malware Sagerunex, penting untuk menerapkan strategi deteksi dan pencegahan yang efektif. Salah satu langkah utama adalah menggunakan threat intelligence untuk mendeteksi pola serangan yang digunakan kelompok ini dan menganalisis log jaringan guna mengidentifikasi aktivitas mencurigakan. Karena Lotus Blossom sering menyalahgunakan layanan cloud seperti Dropbox, X (Twitter), dan Zimbra untuk komunikasi malware, perusahaan juga perlu memantau anomali akses di layanan cloud mereka. Jika terdapat aktivitas login yang tidak biasa, transfer data mencurigakan, atau komunikasi dengan domain yang tidak dikenal, sistem harus segera mengeluarkan peringatan untuk dilakukan investigasi lebih lanjut.
Selain pencegahan, organisasi juga harus memiliki strategi mitigasi dan respons insiden yang kuat. Mengadopsi zero trust security framework sangat penting, di mana setiap akses harus diverifikasi secara ketat sebelum diberikan izin, termasuk untuk perangkat dan pengguna internal. Selain itu, perusahaan harus menerapkan kebijakan keamanan email dan proxy server yang ketat untuk mencegah serangan phishing dan penggunaan layanan proxy ilegal seperti Venom, yang digunakan Lotus Blossom untuk menghindari pembatasan jaringan. Dengan memastikan bahwa hanya komunikasi yang sah yang dapat melewati jaringan perusahaan, serta melakukan edukasi karyawan tentang ancaman phishing dan watering hole attack, organisasi dapat secara signifikan mengurangi risiko serangan dari kelompok peretas ini.
Baca juga: Dampak Serangan Bashe Ransomware terhadap Sistem Keuangan
Memahami ancaman dari kelompok APT (Advanced Persistent Threat) seperti Lotus Blossom sangat penting bagi organisasi yang bergerak di sektor strategis. Dengan serangan yang terus berkembang, deteksi dini melalui threat intelligence dan strategi mitigasi seperti zero trust security menjadi kunci untuk melindungi sistem dari infeksi malware seperti Sagerunex. Mengingat kelompok ini terus mengembangkan teknik dan varian baru, termasuk penyalahgunaan layanan sah untuk menyembunyikan aktivitas mereka, perusahaan harus selalu waspada dan memperbarui pertahanan siber mereka agar tetap selangkah lebih maju dalam menghadapi ancaman yang semakin canggih.