Peretas China Incar Data Pemerintah, Gunakan CoolClient Terbaru

Uptodai.com - Kelompok peretas yang diduga kuat berafiliasi dengan Tiongkok kembali melancarkan serangan siber yang masif. Kali ini, Peretas China Incar Data Pemerintah di berbagai belahan dunia menggunakan varian terbaru dari malware yang dikenal sebagai CoolClient.

Serangan yang dikaitkan dengan kelompok spionase siber Mustang Panda ini menunjukkan peningkatan signifikan dalam hal kecanggihan dan teknik penghindaran deteksi. Target utamanya adalah lembaga-lembaga pemerintahan penting di sejumlah negara, mencakup Myanmar, Mongolia, Malaysia, Rusia, hingga Pakistan.

Mustang Panda, yang telah aktif sejak 2022, dikenal menggunakan CoolClient bersama malware lain seperti PlugX dan LuminousMoth. Modus operandi terbaru mereka sangat licik, yaitu menyebarkan muatan berbahaya melalui perangkat lunak sah yang dikeluarkan oleh Sangfor, sebuah perusahaan keamanan siber yang berbasis di China.

CoolClient Terbaru Semakin Sulit Dideteksi

Para peneliti keamanan siber dari Kaspersky menemukan bahwa varian CoolClient yang baru ini tidak hanya diperbarui, tetapi juga digunakan untuk menyebarkan rootkit yang belum pernah terdeteksi sebelumnya. Meskipun analisis teknis mendalam mengenai rootkit tersebut masih menunggu publikasi, temuan awal menunjukkan upaya serius dari Mustang Panda untuk meningkatkan kemampuan operasional mereka.

Sebelumnya, kelompok ini juga memanfaatkan teknik DLL sideloading, yaitu menyuntikkan CoolClient melalui aplikasi resmi yang banyak digunakan seperti Bitdefender, VLC Media Player, dan Ulead PhotoImpact. Teknik ini memungkinkan malware bersembunyi di balik proses yang dianggap legal oleh sistem operasi.

CoolClient dirancang untuk melakukan pengintaian mendalam terhadap sistem korban. Informasi yang dikumpulkan sangat detail, mulai dari konfigurasi jaringan, spesifikasi perangkat keras, sistem operasi, hingga detail RAM yang terpasang.

Fitur Spionase Baru dan Teknik Penghindaran Canggih

Versi terbaru CoolClient membawa serangkaian fitur spionase yang jauh lebih agresif. Kini, malware tersebut mampu memantau clipboard, melacak jendela aplikasi yang sedang aktif, dan mencuri kredensial proxy HTTP yang tersimpan dalam sistem.

Selain itu, malware ini dilengkapi dengan fitur infostealer yang menargetkan tiga peramban utama, yakni Google Chrome, Microsoft Edge, serta peramban lain yang dibangun di atas basis Chromium. Pencurian data ini dilakukan secara bertahap menggunakan berkas terenkripsi.

Untuk memastikan keberadaannya permanen, CoolClient memodifikasi Registry, menambahkan layanan Windows baru, dan membuat tugas terjadwal. Bahkan, malware ini mendukung peningkatan hak akses dan bypass UAC (User Account Control), memberikan pelaku kontrol penuh atas sistem yang terinfeksi.

Salah satu peningkatan paling signifikan adalah metode eksfiltrasi data. Alih-alih menggunakan server C2 (Command and Control) yang mudah diblokir, malware kini memanfaatkan token API dari layanan sah seperti Google Drive dan Pixeldrain untuk mengirim data curian. Penggunaan layanan cloud yang tepercaya ini membuat lalu lintas data berbahaya tersebut sangat sulit dibedakan dari aktivitas pengguna normal oleh sistem keamanan.

Ekosistem plugin CoolClient juga diperluas, kini mencakup shell jarak jauh, manajemen layanan Windows, dan pengelolaan berkas tingkat lanjut. Semua kemampuan ini memastikan bahwa begitu berhasil masuk, peretas memiliki pijakan yang kuat dan sulit digoyahkan dalam infrastruktur target.

Mustang Panda terus menunjukkan evolusi yang mengkhawatirkan. Dalam beberapa bulan terakhir, kelompok ini juga dikaitkan dengan penyebaran backdoor lain bernama ToneShell, yang menggunakan loader mode kernel. Pemanfaatan mode kernel ini memberikan akses terdalam ke sistem operasi, menjadikannya ancaman yang sangat berbahaya bagi keamanan nasional.

Peningkatan kapabilitas ini selaras dengan peringatan yang dikeluarkan oleh Biro Keamanan Nasional Taiwan. Mereka secara eksplisit menempatkan Mustang Panda sebagai salah satu ancaman siber paling aktif dan berbahaya yang secara konsisten menargetkan infrastruktur penting negara tersebut.