HATVIBE dan CHERRYSPY: Malware Rusia Sasar Eropa dan Asia

Grup peretas yang diduga terkait dengan Rusia kembali menjadi sorotan. Kali ini, mereka melancarkan serangan siber dalam bentuk kampanye spionase yang menargetkan organisasi di Asia Tengah, Asia Timur, dan Eropa. Peneliti dari Insikt Group, bagian dari Recorded Future, menyebut kelompok ini sebagai TAG-110. Menariknya, aktivitas mereka serupa dengan grup ancaman yang dilacak oleh CERT-UA (Computer Emergency Response Team Ukraina) dengan nama UAC-0063, yang juga terkait dengan kelompok terkenal APT28.

Kelompok ini diketahui telah aktif setidaknya sejak 2021. Dalam laporan terbarunya, Insikt Group menyebutkan bahwa TAG-110 menggunakan dua alat malware canggih bernama HATVIBE dan CHERRYSPY. Malware ini dirancang khusus untuk melancarkan serangan spionase. HATVIBE berfungsi sebagai loader, atau semacam "alat angkut," untuk menyebarkan CHERRYSPY, sebuah backdoor berbasis Python yang mampu mencuri data dan memata-matai target. Lembaga pemerintah, organisasi hak asasi manusia, dan institusi pendidikan menjadi target utama mereka.

Menurut CERT-UA, penggunaan HATVIBE dan CHERRYSPY pertama kali terdeteksi pada Mei 2023 dalam serangan terhadap lembaga pemerintah Ukraina. Setahun kemudian, malware ini kembali ditemukan menyerang sebuah lembaga riset ilmiah yang tidak disebutkan namanya, masih di Ukraina. Hingga kini, sebanyak 62 korban dari 11 negara telah diidentifikasi.

Sebagian besar insiden terjadi di negara-negara Asia Tengah seperti Tajikistan, Kirgistan, Kazakhstan, Turkmenistan, dan Uzbekistan. Wilayah ini tampaknya menjadi fokus utama TAG-110, kemungkinan besar untuk mengumpulkan intelijen yang relevan dengan kepentingan geopolitik Rusia di kawasan tersebut. Selain itu, korban lain juga ditemukan di Armenia, China, Hungaria, India, Yunani, dan Ukraina.

Cara TAG-110 Beraksi

TAG-110 menggunakan berbagai metode untuk memulai serangannya. Salah satu yang paling umum adalah mengeksploitasi celah keamanan pada aplikasi web yang terbuka untuk publik, seperti Rejetto HTTP File Server. Selain itu, mereka juga memanfaatkan email phishing untuk mendapatkan akses awal ke jaringan target.

Setelah berhasil masuk, HATVIBE, yang berbentuk aplikasi HTML, akan digunakan untuk menyebarkan CHERRYSPY. Malware CHERRYSPY ini kemudian melakukan tugas utamanya: mengumpulkan data penting dan mengirimkannya kembali ke operatornya. Strategi seperti ini memungkinkan mereka untuk menjalankan operasi spionase secara efektif tanpa terdeteksi.

Menurut Recorded Future, operasi TAG-110 adalah bagian dari strategi besar Rusia untuk mengumpulkan intelijen. Fokus utama mereka adalah wilayah bekas Uni Soviet, di mana Rusia ingin mempertahankan pengaruhnya di tengah hubungan yang semakin tegang akibat invasi ke Ukraina.

Serangan Meluas ke Infrastruktur Eropa

Namun, Asia Tengah bukan satu-satunya target. Rusia juga memperluas operasi sabotase mereka ke infrastruktur penting di Eropa. Setelah invasi besar-besaran pada Februari 2022, negara-negara seperti Estonia, Finlandia, Latvia, Lithuania, Norwegia, dan Polandia menjadi target utama mereka. Tujuannya? Mengguncang stabilitas negara-negara anggota NATO sekaligus mengganggu dukungan mereka terhadap Ukraina.

Langkah ini sejalan dengan strategi perang hibrida Rusia yang sudah lama diterapkan. Mereka menggunakan serangan fisik, operasi siber, dan kampanye pengaruh untuk melemahkan kemampuan militer serta aliansi politik negara-negara Barat. Dalam laporan Recorded Future, upaya ini disebut sebagai tindakan yang sangat terencana dan persisten.

Ancaman ke Depan

Melihat situasi yang terus memanas, para ahli memprediksi bahwa Rusia akan meningkatkan intensitas serangannya, baik di dunia nyata maupun di ranah siber. Meski begitu, Rusia cenderung berhati-hati agar tidak melampaui batas yang bisa memicu perang langsung dengan NATO. Pendekatan ini sesuai dengan doktrin Gerasimov, yang menekankan pentingnya strategi perang asimetris tanpa harus melibatkan konflik militer langsung.

Serangan fisik seperti sabotase infrastruktur kemungkinan akan terus berjalan beriringan dengan operasi siber dan propaganda lainnya. Kampanye seperti ini menyoroti pentingnya kesiapsiagaan siber, terutama bagi negara-negara yang menjadi target.

Untuk itu, pemerintah dan organisasi di seluruh dunia perlu meningkatkan pertahanan mereka, termasuk memperkuat sistem keamanan, melatih tenaga ahli, dan mengedukasi masyarakat tentang ancaman siber. Dalam era yang semakin digital, langkah-langkah ini bukan hanya pilihan, tetapi menjadi keharusan.