SiwinduMedia.com – Sebuah kelompok mata-mata Tiongkok diketahui menggunakan metode yang baru dan inovatif untuk melewati sistem antivirus populer di Indonesia. Serangan ini diketahui telah menargetkan kedutaan Eropa di wilayah Asia Tenggara dan Timur.
Menurut penelitian yang dilakukan oleh perusahaan keamanan siber asal Israel, Check Point, kelompok ancaman yang mereka lacak sebagai Camaro Dragon memiliki keterkaitan dengan kegiatan yang didukung oleh negara lain yang dikenal sebagai Mustang Panda. Penelitian ini mengungkapkan bahwa kelompok ini menggunakan backdoor baru yang disebut TinyNote untuk melakukan serangan.
Dilansir bankinfosecurity.com, TinyNote merupakan jenis backdoor yang memiliki keterbatasan kemampuan, tetapi cukup efektif dalam menciptakan akses jarak jauh dan menjalankan perintah dari server kontrol yang dikendalikan oleh pelaku serangan. Yang menarik adalah bagaimana TinyNote berhasil melewati sistem keamanan antivirus Smadav yang populer di Indonesia dan negara-negara Asia Tenggara.
Biasanya, Smadav akan memeriksa setiap proses yang baru dimulai dan memeriksa apakah proses tersebut membuka jendela yang terlihat di desktop. Jika proses tersebut tidak memiliki jendela, Smadav akan menganggapnya mencurigakan dan mengusulkan untuk memblokirnya. Namun, TinyNote berhasil mengelabui sistem ini dengan membuka jendela yang tidak terlihat oleh pengguna.
Para peneliti Check Point menjelaskan bahwa backdoor ini membuka jendela alat yang tidak ditampilkan oleh sistem operasi Windows. Jendela ini tidak akan muncul di taskbar atau dalam daftar jendela saat pengguna menggeser Alt + Tab. Selain itu, TinyNote juga mengatur ukuran jendela menjadi nol dan menghindari panggilan fungsi sistem yang biasanya digunakan untuk mendeteksi jendela baru.
Dengan melakukan langkah-langkah tersebut, TinyNote berhasil lolos dari deteksi Smadav dan melanjutkan serangannya tanpa terdeteksi. Kemampuan ini menunjukkan betapa terfokusnya kelompok Camaro Dragon dalam menargetkan korbannya dan pengetahuan mendalam mereka tentang lingkungan dan solusi keamanan yang digunakan.
Penting untuk dicatat bahwa TinyNote bukanlah serangan pertama yang menggunakan celah dalam Smadav. Sebelumnya, kelompok Mustang Panda juga diketahui menggunakan versi Trojan Smadav untuk menyerang anggota parlemen Malaysia.
Para peneliti juga menemukan bahwa nama file TinyNote yang ditemukan di server yang mereka analisis menggunakan istilah-istilah yang terkait dengan urusan luar negeri. Pola penamaan ini mirip dengan serangan sebelumnya yang dilakukan oleh Mustang Panda. Hal ini menunjukkan bahwa kelompok ini memiliki tujuan dan sasaran yang spesifik dalam kegiatan mata-mata mereka.