Kelompok peretas siber yang dikenal sebagai APT36 atau Transparent Tribe, yang memiliki hubungan dengan aktor ancaman Pakistan, dilaporkan melancarkan kampanye spionase siber terkoordinasi dan bertarget kepada berbagai sistem pemerintahan India. Kelompok ini dikenal menargetkan lembaga pemerintah, akademik, dan strategis India dengan teknik serangan yang semakin kompleks.
Serangan terbaru ini memanfaatkan file pintasan Windows (LNK) yang telah diracuni malware, yang disamarkan seolah-olah merupakan dokumen PDF asli. File ini dibagikan melalui email phishing yang menipu penerima agar membuka lampiran berbahaya, seperti file ZIP berjudul “Online JLPT Exam Dec 2025.zip”.
Saat dibuka, file pintasan berbahaya tersebut menjalankan skrip tersembunyi di latar belakang melalui utilitas Windows mshta.exe untuk mengambil payload berbahaya dari server penyerang. Teknik ini dilakukan dengan metode tanpa file (fileless execution) yang membuatnya sulit dideteksi oleh solusi keamanan tradisional.
Payload yang diunduh kemudian memuat Remote Access Trojan (RAT) yang memberikan akses penuh kepada penyerang. Malware ini memungkinkan penyerang untuk mengontrol sistem dari jarak jauh, termasuk mengambil screenshot, mengelola file, mencuri dokumen sensitif, serta memonitor sistem yang terinfeksi.
Salah satu aspek yang menonjol dalam kampanye ini adalah kemampuan malware untuk mengidentifikasi perangkat lunak antivirus yang terpasang, lalu menyesuaikan teknik persistensi agar tetap berada dalam sistem meskipun ada perangkat keamanan. Misalnya, ketika mendeteksi antivirus tertentu seperti Kaspersky, malware dapat mengubah cara ia memelihara aksesnya.
Laporan intelijen menyebutkan bahwa APT36 lebih mengutamakan pengumpulan informasi dan spionase daripada keuntungan finansial, menunjukkan motif geopolitik dalam serangan ini.
Ahli keamanan siber merekomendasikan agar organisasi pemerintah meningkatkan filter email, memantau aktivitas aneh seperti eksekusi mshta.exe, serta memperketat mekanisme deteksi berbasis perilaku untuk mengurangi risiko serangan serupa.
Sumber : CYFIRMA
