Pencuri Dokumen Rahasia XDSpy 9 Tahun Beroperasi Tanpa Diketahui

Kelompok spionasea satu ini memang paling ahli bersembunyi di bawah radar deteksi. Beroperasi sejak 2011 dan mencuri berbagai dokumen rahasia dari berbagai negara tanpa diketahui.

Grup siber XDSpy menargetkan entitas pemerintahan termasuk militer dan kementerian luar negeri serta perusahaan-perusahaan swasta. Kehadiran mereka telah mengancam banyak negara, tak terhitung berapa jumlah dokumen yang telah mereka curi.

ESET yang mengusut lebih lanjut sepak terjang XDSpy coba mengurut secara cermat setiap hal yang terkait XDSpy dan coba menghubungkan dengan grup APT yang diketahui publik dan menemukan hasil:

    • Tidak ditemukan kemiripan kode dengan keluarga malware lainnya.
    • ESET tidak melihat adanya tumpang tindih dalam infrastruktur jaringan.
    • Tidak mengetahui grup APT lain yang menargetkan negara dan vertikal tertentu ini.

Apalagi kelompok tersebut telah aktif selama lebih dari sembilan tahun. Jadi, jika ada tumpang tindih seperti itu, ESET menyakin itu akan segera diketahui, dan kelompok spionase siber tersebut sudah terungkap sejak lama.

Dari penelitian yang ESET lakukan diketahui bahwa pengembang malware spionase ini mungkin bekerja dalam zona waktu UTC +2 atau UTC +3. ESET juga memperhatikan bahwa mereka hanya bekerja dari Senin hingga Jumat, menunjukkan aktivitas profesional.

Bagaimana XDSpy beroperasi

Operator XDSpy umumnya menggunakan spearphishing email dalam upaya mereka untuk menguasai perangkat target. Lebih dari itu, fakta di lapangan yang ditemui bahwa serangan email tersebut merupakan satu-satunya vektor kompromi berdasar observasi ESET.

Namun, email tersebut cenderung sedikit berbeda, beberapa berisi lampiran sementara yang lain berisi tautan ke file berbahaya. Lapisan pertama dari file atau lampiran berbahaya biasanya berupa arsip ZIP atau RAR.

Tautan mengarah ke arsip ZIP yang berisi file LNK, tanpa dokumen perangkap. Ketika korban mengklik dua kali di atasnya, LNK mendownload skrip tambahan yang menginstal XDDown, komponen malware utama.

Ketika itu terjadi, korban sudah masuk dalam jeratan pengembang malware XDSpy, semua hal dalam perangkat korban akan disortir untuk mencari data penting atau rahasia.

Menghilang dan beraksi kembali

Dalam penelusuran, dari pelacakan yang dilakukan, kelompok spionase ini sempat hibernasi selama bulan Maret dan Juni 2020, setelahnya mereka kembali beraksi. Sepertinya mereka memiliki protokol sendiri setiap kali usai melakukan spionase, mereka menghilang.

Pada akhir Juni 2020, dalam aksinya mereka meningkatkan permainan mereka dengan menggunakan kerentanan di Internet Explorer, CVE-2020-0968, yang telah di-patch pada April 2020.

CVE-2020-0968 adalah bagian dari serangkaian kerentanan serupa di mesin JavaScript lama IE yang diungkapkan dalam dua tahun terakhir.

Pada saat itu dieksploitasi oleh XDSpy, tidak ada bukti konsep dan sangat sedikit informasi tentang kerentanan khusus ini yang tersedia secara online. ESET berpikir bahwa XDSpy membeli eksploitasi ini dari broker atau mengembangkan eksploitasi zero day sendiri dengan melihat eksploitasi sebelumnya sebagai inspirasi.

Menarik untuk dicatat bahwa exploit ini memiliki kemiripan dengan exploit yang sebelumnya digunakan dalam operasi siber DarkHotel. Dan hampir identik dengan exploit yang digunakan dalam Operasi Domino pada September 2020.

Meski demikian, namun ESET tidak percaya XDSpy ditautkan dengan operasi DarkHotel dan Operasi Domino juga terlihat sangat berbeda dari XDSpy, tapi ada kemungkinan ketiga grup tersebut berbagi broker eksploitasi yang sama.

Insiden lain, adalah aksi mereka dengan menumpang chaos pandemi Covid-19, setidaknya dua kali pada tahun 2020. Tema ini pertama kali digunakan dalam kampanye spearphishing melawan institusi Belarusia pada Februari 2020. Kemudian, pada September 2020.