Peretas TIDrone targetkan produsen drone asal Taiwan

Kelompok peretas dari Tiongkok yang dijuluki "TIDrone" dikabarkan tengah melancarkan serangan malware canggih yang menargetkan rantai pasokan industri militer dan satelit di seluruh dunia. Para peneliti mengatakan serangan ini juga melanda produsen drone di Taiwan.

Meski tidak terlalu dikenal, TIDrone selama beberapa waktu kebelakang ini telah menunjukkan minat besar terhadap rantai industri militer. Salah satu target utama mereka adalah pada produsen drone di Taiwan. 

Serangan ini menggunakan perangkat lunak perencanaan sumber daya perusahaan (ERP) atau remote desktop untuk menyebarkan virus canggih seperti CXCLNT dan CLNTEND. Virus ini mampu mengunggah, mengunduh file, mengumpulkan informasi korban, serta menonaktifkan produk antivirus. 

TIDrone terus memperbarui dan mengoptimalkan rantai serangannya dengan teknik-teknik anti-analisis dan bypass antivirus. Tujuannya diyakini terkait dengan spionase, mengingat data sensitif yang biasanya dipegang oleh target seperti produsen drone militer.

Mengutip laporan dari Trend Micro.com, TIDrone terhubung dengan kelompok peretas asal Tiongkok  lainnya dan menggunakan perangkat lunak perencanaan sumber daya perusahaan (ERP) atau alat desktop jarak jauh untuk menyebarkan malware canggih milik mereka.

"Sejak awal 2024, kami telah menerima kasus respons insiden dari Taiwan," ungkap analisis dari Trend Micro. "Namun, data dari VirusTotal menunjukkan bahwa negara-negara yang menjadi target bervariasi; oleh karena itu, semua orang harus tetap waspada terhadap ancaman ini."

TIDrone menggunakan berbagai perangkat khusus seperti "CXCLNT", yang mampu mengunggah dan mengunduh file, mengumpulkan informasi korban seperti daftar file dan nama komputer, serta memiliki kemampuan menyembunyikan jejak. Alat lain yang digunakan adalah "CLNTEND", alat akses jarak jauh (RAT) yang pertama kali muncul pada April lalu dan mendukung berbagai protokol jaringan untuk komunikasi.

Setelah berhasil menembus target, TIDrone menggunakan teknik bypass kontrol akun pengguna (UAC), pengambilan kredensial, dan alat peretasan untuk menonaktifkan produk antivirus, menurut analisis lebih lanjut.

"Para pelaku ancaman secara konsisten memperbarui arsenal mereka dan mengoptimalkan rantai serangan," catat para peneliti. "Teknik anti-analisis digunakan dalam pemuat mereka, seperti memverifikasi alamat titik masuk dari proses induk dan mengaitkan API yang banyak digunakan seperti GetProcAddress untuk mengubah alur eksekusi."

Serangan ini menunjukkan adanya perkembangan berkelanjutan dalam teknik peretasan, sehingga memperkuat pentingnya kewaspadaan global terhadap ancaman serupa di masa depan.