Himbauan Keamanan Siber
>
Bandung, 5 Maret 2026 - Sebuah
spionase siber yang diberi nama Operation CamelClone dilaporkan aktif
menargetkan berbagai lembaga pemerintah, institusi pertahanan, serta organisasi
diplomatik di sejumlah negara. Kampanye ini diketahui menyerang target di
Aljazair, Mongolia, Ukraina, dan Kuwait dengan teknik spear-phishing yang
memanfaatkan arsip ZIP berisi file berbahaya.
>Peneliti
dari Seqrite mengungkap bahwa serangan ini menggunakan dokumen umpan yang
menyamar sebagai surat resmi pemerintah. Jika korban membuka file tersebut,
serangan akan memicu rangkaian infeksi bertahap yang berujung pada pencurian
data menggunakan alat transfer cloud yang sah.
>Berawal
dari Sampel yang Ditemukan di VirusTotal
>Kampanye
ini pertama kali terdeteksi pada akhir Februari 2026 ketika sebuah arsip ZIP
mencurigakan yang menyamar sebagai dokumen dari Pemerintah Aljazair ditemukan
di platform analisis malware VirusTotal. File tersebut diketahui diunggah dari
Aljazair pada 24 Februari.
>Tak
lama kemudian, sampel lain muncul dengan umpan yang menargetkan Mongolia,
menggunakan tema kerja sama dengan China. Pada awal Maret, dua sampel tambahan
juga ditemukan, masing-masing menggunakan topik kerja sama antara Aljazair dan
Ukraina serta dokumen pengadaan militer yang menyasar Angkatan Udara Kuwait.
>Rangkaian
temuan ini menunjukkan bahwa kampanye CamelClone memiliki jangkauan geografis
yang cukup luas.
>Target
Dipilih Berdasarkan Nilai Intelijen
>Menurut
peneliti, negara-negara yang menjadi target tidak dipilih secara acak.
Masing-masing memiliki posisi strategis dalam dinamika geopolitik global saat
ini.
>Ukraina
masih berada dalam situasi konflik bersenjata yang berkepanjangan, sementara
Aljazair memainkan peran penting dalam politik energi di kawasan Eropa dan
Afrika. Mongolia berada di posisi sensitif di antara pengaruh China, Rusia, dan
negara Barat. Sementara itu, Kuwait merupakan mitra strategis dalam sektor
pertahanan di kawasan Teluk.
>Faktor-faktor
tersebut mengindikasikan bahwa tujuan utama kampanye ini kemungkinan besar
adalah pengumpulan intelijen, bukan keuntungan finansial.
>
>Teknik
Serangan Melalui File Shortcut
>Dalam
setiap sampel yang dianalisis, arsip ZIP berisi dua komponen utama:
- >file Windows
Shortcut
- >gambar
umpan yang menampilkan logo lembaga resmi
>Logo
yang digunakan antara lain lambang kementerian Aljazair, emblem MonAtom LLC di
Mongolia, serta lambang Angkatan Bersenjata Kuwait.
>Ketika
korban membuka file shortcut tersebut, sebuah perintah PowerShell
dijalankan secara tersembunyi di latar belakang. Perintah ini kemudian
mengunduh tahap berikutnya dari serangan melalui platform berbagi file publik.
>Menghindari
Infrastruktur Command-and-Control Tradisional
>Salah
satu aspek yang membuat kampanye ini sulit dideteksi adalah tidak adanya server
command-and-control tradisional.
>Sebagai
gantinya, penyerang menyimpan seluruh payload berbahaya di situs berbagi file
publik seperti filebulldogs[.]com dan menggunakan layanan penyimpanan
cloud MEGA untuk menampung data hasil pencurian.
>Pendekatan
ini membuat lalu lintas jaringan terlihat seperti aktivitas internet biasa
sehingga lebih sulit diidentifikasi melalui pemantauan jaringan standar.
>Rantai
Infeksi Malware
>Setelah
file shortcut dijalankan, skrip PowerShell akan mengunduh file JavaScript
bernama f.js dari situs berbagi file tersebut.
>Skrip
ini merupakan loader yang oleh peneliti disebut HOPPINGANT. Loader
tersebut menjalankan dua perintah PowerShell yang telah dienkode menggunakan
Base64 untuk melanjutkan proses infeksi.
>Pada
tahap berikutnya, skrip akan:
- >Mengunduh
dokumen PDF palsu untuk mengalihkan perhatian korban.
- >Mengambil
arsip ZIP yang berisi salinan portabel Rclone, sebuah alat
open-source yang biasanya digunakan untuk sinkronisasi dan transfer file
ke layanan cloud.
>Setelah dijalankan, skrip akan mendekripsi kata sandi menggunakan metode XOR sederhana dan menggunakannya untuk masuk ke akun MEGA yang dibuat dengan alamat email anonim dari layanan onionmail