Spionase Siber Mengintai Industri Dirgantara Rusia

Industri dirgantara dan sektor pertahanan Rusia kembali menjadi sasaran kampanye spionase siber canggih. Serangan ini memanfaatkan backdoor berbahaya bernama EAGLET yang dirancang untuk mencuri data sensitif dari sistem komputer yang berhasil disusupi. Kampanye ini, yang dinamakan Operation CargoTalon, dilaporkan dilakukan oleh kelompok ancaman misterius yang dilacak dengan kode UNG0901 (Unknown Group 901).

Serangan ini menambah daftar panjang aksi spionase digital yang semakin meningkat terhadap infrastruktur vital Rusia, terutama yang berkaitan dengan pertahanan dan teknologi tinggi.

 
Sasaran Utama: VASO, Produsen Pesawat Penting Rusia

Menurut laporan dari Seqrite Labs yang dirilis minggu ini, Operation CargoTalon secara khusus menargetkan karyawan Voronezh Aircraft Production Association (VASO). VASO merupakan salah satu produsen pesawat terkemuka di Rusia, menjadikannya target strategis dalam operasi spionase ini.

Modus serangan dimulai melalui email phishing bertema pengiriman kargo, yang tampak seperti dokumen logistik resmi. Email ini menyisipkan file arsip ZIP yang berisi shortcut Windows (LNK). Ketika file LNK ini dibuka, ia akan secara otomatis menjalankan perintah PowerShell yang menampilkan dokumen Excel palsu sebagai umpan, sekaligus menginstal backdoor EAGLET tanpa sepengetahuan korban.

 
Dokumen Umpan Menggunakan Nama Perusahaan yang Disanksi AS

Dalam analisisnya, Seqrite mengungkap bahwa dokumen palsu yang digunakan dalam kampanye ini mencantumkan nama Obltransterminal, yaitu operator terminal kontainer kereta api Rusia yang dikenai sanksi oleh Departemen Keuangan Amerika Serikat (OFAC) pada Februari 2024. Ini memperlihatkan bagaimana pelaku serangan memanfaatkan elemen nyata dan terkini untuk meningkatkan kredibilitas umpan mereka.

 
Mengintip Fungsi Backdoor EAGLET

Backdoor EAGLET tidak hanya berfungsi untuk memata-matai, tetapi juga sebagai pintu masuk untuk mengendalikan sistem dari jarak jauh. Fungsinya meliputi:

• Mengumpulkan informasi sistem dari perangkat korban.
• Terhubung ke server command-and-control (C2) di alamat IP 185.225.17[.]104.
• Memproses balasan dari server untuk instruksi selanjutnya.
• Menjalankan perintah dari jarak jauh.
• Melakukan unggah dan unduh file, serta memberikan akses shell.

Meskipun server C2 kini dilaporkan sudah offline, masih belum jelas apakah ada muatan tambahan (payload) lain yang sempat ditanamkan ke perangkat korban sebelum server dimatikan.

 
Target Lain: Militer Rusia dalam Incaran

Seqrite juga menyebutkan bahwa kampanye serupa menyasar sektor militer Rusia. Hal ini menunjukkan bahwa tujuan para pelaku lebih luas daripada sekadar mencuri data industri penerbangan. Peneliti mencatat adanya kemiripan kode sumber dan taktik serangan antara EAGLET dan backdoor lain bernama PhantomDL yang dikembangkan menggunakan bahasa pemrograman Go.

Ciri-ciri kesamaan antara keduanya meliputi:

• Dukungan akses shell jarak jauh.
• Kemampuan pengunduhan file secara diam-diam.
• Strategi phishing yang menggunakan penamaan file lampiran yang mirip dan tema logistik yang konsisten.

Indikasi ini mengarah pada kemungkinan bahwa pelaku EAGLET memiliki kaitan dengan kelompok ancaman lain bernama Head Mare, yang diketahui sering melancarkan serangan terhadap entitas Rusia di masa lalu.

 
Serangan Terkini: Ukraina Jadi Korban Kampanye Baru

Dalam waktu yang hampir bersamaan, muncul laporan dari IBM X-Force terkait kampanye serangan lain yang menyasar Ukraina. Kelompok peretas bernama UAC-0184 atau dikenal juga sebagai Hive0156, telah melakukan penyebaran Remcos RAT, sebuah trojan akses jarak jauh yang dikenal berfungsi sebagai alat mata-mata.

Serangan ini menggunakan teknik sederhana namun efektif, yaitu melalui file LNK dan skrip PowerShell berbahaya yang mengunduh file pemancing dan payload tambahan bernama Hijack Loader (juga dikenal sebagai IDAT Loader), sebelum akhirnya mengeksekusi Remcos RAT.

Menurut laporan, dokumen-dokumen palsu yang digunakan mengusung tema militer Ukraina, namun diperkirakan dapat diperluas untuk menyasar target yang lebih luas di masa mendatang.

 
Ancaman Siber Semakin Canggih dan Tertarget

Kampanye Operation CargoTalon dan penyebaran EAGLET menunjukkan bahwa serangan siber kini semakin canggih dan tertarget, tidak lagi hanya menyasar individu atau perusahaan biasa, tetapi juga entitas strategis nasional seperti industri pertahanan dan militer.

Strategi yang digunakan, yakni rekayasa sosial melalui email phishing bertema logistik, menjadi bukti bahwa pelaku serangan sangat memahami konteks lokal dan sektor yang mereka targetkan. Ini menambah urgensi bagi perusahaan dan lembaga pemerintah untuk:

• Meningkatkan kewaspadaan terhadap email yang mencurigakan.
• Mengedukasi karyawan soal teknik phishing terbaru.
• Memperkuat pertahanan siber secara menyeluruh.

Meskipun motivasi pasti dari kampanye Operation CargoTalon dan penyebaran EAGLET belum diungkap secara resmi, jelas bahwa serangan ini bukan sembarangan. Melibatkan teknik rekayasa sosial canggih, malware dengan fungsi tingkat lanjut, serta sasaran strategis, kampanye ini menjadi peringatan serius bagi sektor pertahanan dan industri di berbagai negara.

Kehadiran kelompok seperti UNG0901 dan Hive0156 menunjukkan bahwa lanskap ancaman dunia maya terus berkembang dan memerlukan respon kolektif serta kesiapan teknologi yang kuat untuk melindungi informasi nasional yang vital.