Malware Hantu GhostContainer Diam-diam Kuasai Server Pemerintah

Rabu, 30 Juli 2025 - 19:10 WIB
Oleh :
Ilustrasi hacker hantu.
Ilustrasi hacker hantu.
Sumber :
  • Dok. Kaspersky
Photo Mini 1

Jakarta, VIVA – Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengungkap backdoor baru berbasis perangkat lunak sumber terbuka, yang dijuluki GhostContainer.

Baca Juga :
Rupiah Dibuka Melemah di Tengah Upaya Pemerintah Genjot Ekonomi RI Semester II 2025

Malware yang sebelumnya tidak dikenal dan sangat terkustomisasi ini ditemukan dalam kasus respons insiden (IR), yang menargetkan infrastruktur Exchange di ekosistem pemerintahan.

Malware ini kemungkinan merupakan bagian dari kampanye ancaman persisten tingkat lanjut (APT) yang menargetkan entitas bernilai tinggi di Asia, termasuk perusahaan teknologi tinggi.

Baca Juga :
Prabowo Gratiskan PBG dan PPN Rumah Subsidi Sampai Desember 2025

Berkas yang dideteksi oleh Kaspersky sebagai App_Web_Container_1.dll ternyata merupakan backdoor multifungsi canggih yang memanfaatkan beberapa proyek sumber terbuka dan dapat diperluas secara dinamis dengan fungsionalitas yang dapat diubah-ubah melalui unduhan modul tambahan.

Setelah dimuat, backdoor ini memberi penyerang kendali penuh atas server Exchange, yang memungkinkan berbagai aktivitas berbahaya.

Baca Juga :
Kantongi Sertifikasi TKDN, Ricoh Ungkap Digitalisasi Bikin Permintaan dari Pasar Scanner Naik

Untuk menghindari deteksi oleh solusi keamanan, GhostContainer menggunakan beberapa teknik penghindaran dan menampilkan dirinya sebagai komponen server yang sah untuk berbaur dengan operasi normal.

Selain itu, GhostContainer dapat bertindak sebagai proksi atau tunnel, yang berpotensi mengekspos jaringan internal terhadap ancaman eksternal atau memfasilitasi eksfiltrasi data sensitif dari sistem internal.

Oleh karena itu, spionase siber diduga menjadi tujuan kampanye ini.

“Analisis mendalam kami mengungkapkan bahwa para penyerang sangat terampil dalam mengeksploitasi sistem Exchange dan memanfaatkan berbagai proyek sumber terbuka terkait infiltrasi IIS dan lingkungan Exchange, serta menciptakan dan meningkatkan alat spionase canggih berdasarkan kode yang tersedia untuk umum. Kami akan terus memantau aktivitas mereka, beserta cakupan dan skala serangan ini, untuk mendapatkan pemahaman lebih baik tentang lanskap ancaman tersebut,” kata Sergey Lozhkin, Kepala GReAT Kaspersky untuk APAC dan META.

Saat ini, GhostContainer belum dapat dikaitkan dengan kelompok pelaku ancaman mana pun, karena penyerang belum mengekspos infrastruktur apapun.

Malware ini menggabungkan kode dari beberapa proyek sumber terbuka yang dapat diakses publik, yang dapat dimanfaatkan oleh peretas atau kelompok APT di seluruh dunia.

Perlu dicatat, pada akhir 2024, total 14 ribu paket berbahaya telah diidentifikasi dalam proyek sumber terbuka — meningkat 48 persen dibandingkan akhir 2023 — yang menyoroti meningkatnya ancaman di area ini.

Halaman Selanjutnya
Oleh karena itu, spionase siber diduga menjadi tujuan kampanye ini.
Halaman Selanjutnya