Pendahuluan
Kelompok hacker terkenal bernama Lazarus Group kembali menjadi perhatian dunia keamanan siber. Kali ini mereka menggunakan malware baru bernama RemotePE, sebuah malware canggih yang berjalan langsung di memori komputer tanpa meninggalkan file di hard disk.
Teknik ini membuat malware sangat sulit dideteksi oleh antivirus biasa. Target utama serangan adalah perusahaan finansial, platform cryptocurrency, dan organisasi fintech.
Kasus ini menunjukkan bahwa serangan siber modern semakin canggih dan sulit dideteksi.
Siapa Itu Lazarus Group?
Lazarus Group adalah kelompok hacker yang sering dikaitkan dengan Korea Utara. Kelompok ini dikenal sangat aktif melakukan:
- pencurian uang digital
- spionase siber
- serangan terhadap bank
- pembobolan platform cryptocurrency
Lazarus juga dikenal dengan beberapa nama lain seperti:
- APT38
- Hidden Cobra
- AppleJeus
Selama beberapa tahun terakhir, kelompok ini diduga berhasil mencuri miliaran dolar aset crypto dari berbagai negara.
Apa Itu RemotePE?
RemotePE adalah malware jenis Remote Access Trojan (RAT).
Malware ini memungkinkan penyerang mengontrol komputer korban dari jarak jauh.
Yang membuat RemotePE berbahaya adalah:
- berjalan langsung di RAM
- tidak menyimpan file malware di hard disk
- sulit dideteksi antivirus
- sulit dianalisis secara forensik
Karena berjalan di memori, malware ini sering disebut sebagai:
memory-only malware atau fileless malware
Cara Kerja Serangan RemotePE
1. Social Engineering
Serangan biasanya dimulai dengan teknik penipuan atau social engineering.
Penyerang berpura-pura menjadi:
- recruiter perusahaan
- staf HR
- pegawai perusahaan trading crypto
Korban kemudian diarahkan ke website palsu atau diminta membuka file tertentu.
Beberapa platform palsu yang digunakan antara lain:
- Calendly palsu
- Picktime palsu
- chat Telegram
2. Tahap Infeksi Malware
Tahap Pertama – DPAPILoader
Malware awal bernama DPAPILoader dijalankan terlebih dahulu.
Tugasnya adalah:
- mendekripsi payload malware
- mempersiapkan sistem korban
Malware memanfaatkan fitur Windows DPAPI agar lebih sulit dianalisis.
Tahap Kedua – RemotePELoader
Selanjutnya malware menghubungi server penyerang atau command-and-control (C2).
Server tersebut kemudian mengirim payload utama.
Tahap Ketiga – RemotePE RAT
Payload utama berjalan langsung di memori RAM.
Pada tahap ini penyerang dapat:
- mengontrol komputer korban
- mencuri data
- menjalankan perintah
- memata-matai aktivitas korban
Semua dilakukan tanpa membuat file permanen pada sistem.
Teknik Penghindaran Deteksi
1. Memory-Only Execution
Malware tidak disimpan di hard disk.
Akibatnya antivirus tradisional kesulitan mendeteksi ancaman.
2. ETW Patching
RemotePE mencoba mematikan sistem logging Windows yang disebut:
Event Tracing for Windows (ETW)
Tujuannya agar aktivitas malware tidak tercatat.
3. Hell’s Gate Technique
Teknik ini digunakan untuk menghindari deteksi dari:
- EDR
- antivirus
- software monitoring keamanan
Dengan cara memanggil syscall Windows secara langsung.
4. Jejak Forensik Sangat Sedikit
Karena malware berjalan di RAM, jejak digital yang ditinggalkan sangat minim.
Hal ini membuat proses investigasi menjadi lebih sulit.
Malware Lain yang Digunakan Lazarus
Selain RemotePE, Lazarus juga diketahui menggunakan malware lain seperti:
PondRAT
Digunakan untuk kontrol sistem sederhana.
ThemeForestRAT
Digunakan untuk mempertahankan akses ke sistem korban.
Multi-RAT Strategy
Lazarus sering menggunakan beberapa malware sekaligus agar tetap dapat masuk ke sistem meskipun salah satu malware terdeteksi.
Target Utama Serangan
Beberapa target utama Lazarus antara lain:
- exchange cryptocurrency
- platform DeFi
- perusahaan fintech
- bank
- developer blockchain
- perusahaan investasi digital
Sektor crypto menjadi target utama karena memiliki aset bernilai besar dan transaksi yang sulit dilacak.
Dampak Serangan
1. Pencurian Dana Kripto
Penyerang dapat mencuri aset digital dalam jumlah besar.
2. Pengambilalihan Infrastruktur
Jika berhasil mendapatkan akses administrator, penyerang bisa mengontrol server internal perusahaan.
3. Spionase Jangka Panjang
Malware fileless memungkinkan penyerang bertahan lama tanpa diketahui.
4. Kerugian Finansial Besar
Lazarus diduga telah menyebabkan kerugian miliaran dolar sejak beberapa tahun terakhir.
Indikator Kompromi (IoC)
Beberapa tanda yang perlu diwaspadai:
- aktivitas PowerShell mencurigakan
- koneksi ke domain asing yang tidak dikenal
- proses memory injection
- traffic jaringan abnormal
- logging Windows tiba-tiba berhenti
Cara Mencegah Serangan RemotePE
1. Gunakan EDR Modern
EDR modern mampu mendeteksi perilaku mencurigakan di memori.
2. Waspada terhadap Phishing
Jangan mudah percaya pada:
- recruiter asing
- file interview
- link meeting mencurigakan
3. Monitoring Aktivitas Memory Injection
Tim SOC perlu memantau aktivitas malware fileless.
4. Terapkan Zero Trust
Jangan langsung mempercayai user atau aplikasi meskipun berasal dari internal perusahaan.
5. Update Sistem Secara Berkala
Patch keamanan sangat penting untuk mencegah eksploitasi sistem.
Mengapa Malware Fileless Sangat Berbahaya?
Malware fileless menjadi ancaman besar karena:
- sulit dideteksi
- tidak meninggalkan file
- mampu melewati antivirus biasa
- cocok untuk spionase jangka panjang
Teknik ini semakin sering digunakan oleh kelompok APT modern.
Pelajaran dari Kasus RemotePE
Kasus RemotePE menunjukkan bahwa:
- social engineering masih sangat efektif
- antivirus tradisional tidak lagi cukup
- deteksi berbasis perilaku menjadi sangat penting
- keamanan endpoint harus terus ditingkatkan
Organisasi modern perlu memperkuat sistem monitoring dan threat hunting agar dapat mendeteksi ancaman semacam ini.
Kesimpulan
RemotePE adalah contoh malware modern yang sangat canggih. Dengan teknik memory-only, Lazarus berhasil membuat malware yang sulit dideteksi dan cocok untuk operasi spionase jangka panjang.
Serangan ini menjadi peringatan bagi perusahaan finansial dan industri cryptocurrency untuk meningkatkan keamanan siber mereka.
Di era saat ini, ancaman tidak lagi hanya berupa virus biasa, tetapi malware stealthy yang mampu bersembunyi di memori sistem tanpa meninggalkan jejak.
