Kampanye spionase siber yang sulit dipahami dan canggih yang diatur oleh kelompok Winnti yang didukung China telah berhasil terbang di bawah radar setidaknya sejak 2019.
Dijuluki “Operasi CuckooBees” oleh perusahaan cybersecurity Israel Cybereason, operasi pencurian kekayaan intelektual besar-besaran memungkinkan aktor ancaman untuk mengekstrak ratusan gigabyte informasi.
Target termasuk perusahaan teknologi dan manufaktur yang terutama berlokasi di Asia Timur, Eropa Barat, dan Amerika Utara.
“Para penyerang menargetkan kekayaan intelektual yang dikembangkan oleh para korban, termasuk dokumen sensitif, cetak biru, diagram, formula, dan data kepemilikan terkait manufaktur,” kata para peneliti.
“Selain itu, penyerang mengumpulkan informasi yang dapat digunakan untuk serangan siber di masa mendatang, seperti detail tentang unit bisnis perusahaan target, arsitektur jaringan, akun dan kredensial pengguna, email karyawan, dan data pelanggan.”
Winnti, juga dilacak oleh vendor keamanan siber lainnya dengan nama APT41, Axiom, Barium, dan Bronze Atlas, diketahui aktif setidaknya sejak 2007.
“Niat kelompok tersebut adalah terhadap pencurian kekayaan intelektual dari organisasi di negara maju, dan dengan keyakinan moderat bahwa ini atas nama China untuk mendukung pengambilan keputusan di berbagai sektor ekonomi China,” catat Secureworks dalam profil ancaman aktor tersebut.
Rantai infeksi multi-tahap yang didokumentasikan oleh Cybereason melibatkan eksploitasi server yang terhubung ke internet untuk menyebarkan shell web dengan tujuan melakukan pengintaian, pergerakan lateral, dan aktivitas eksfiltrasi data.
Ini rumit dan rumit, mengikuti pendekatan “rumah kartu” di mana setiap komponen rantai pembunuhan bergantung pada modul lain agar berfungsi, membuat analisis menjadi sangat sulit.
“Ini menunjukkan pemikiran dan upaya yang dimasukkan ke dalam malware dan pertimbangan keamanan operasional, sehingga hampir tidak mungkin untuk dianalisis kecuali semua potongan teka-teki dirakit dalam urutan yang benar,” jelas para peneliti.
Pengambilan data difasilitasi melalui loader modular yang disebut Spyder, yang digunakan untuk mendekripsi dan memuat muatan tambahan. Juga digunakan empat muatan berbeda — STASHLOG, SPARKLOG, PRIVATELOG, dan DEPLOYLOG — yang secara berurutan digunakan untuk menjatuhkan WINNKIT, rootkit tingkat kernel.
Penting untuk kerahasian kampanye ini adalah penggunaan teknik “jarang terlihat” seperti penyalahgunaan mekanisme Windows Common Log File System (CLFS) untuk menyimpan muatan, memungkinkan kelompok peretas untuk menyembunyikan muatan mereka dan menghindari deteksi oleh produk keamanan tradisional .
Menariknya, bagian dari urutan serangan sebelumnya dirinci oleh Mandiant pada September 2021, sambil menunjukkan penyalahgunaan CLFS untuk menyembunyikan muatan tahap kedua dalam upaya untuk menghindari deteksi.
Perusahaan keamanan siber mengaitkan malware tersebut dengan aktor yang tidak dikenal, tetapi memperingatkan bahwa itu bisa saja digunakan sebagai bagian dari aktivitas yang sangat bertarget.
“Karena format file tidak banyak digunakan atau didokumentasikan, tidak ada alat yang tersedia yang dapat mengurai file log CLFS,” kata Mandiant saat itu. “Ini memberi penyerang kesempatan untuk menyembunyikan data mereka sebagai catatan log dengan cara yang nyaman, karena ini dapat diakses melalui fungsi API.”
WINNKIT, pada bagiannya, memiliki stempel waktu kompilasi Mei 2019 dan memiliki tingkat deteksi hampir nol di VirusTotal, menyoroti sifat mengelak dari malware yang memungkinkan penulis untuk tetap tidak ditemukan selama bertahun-tahun.
Tujuan akhir dari intrusi, para peneliti menilai, adalah untuk menyedot informasi kepemilikan, dokumen penelitian, kode sumber, dan cetak biru untuk berbagai teknologi.
“Winnti adalah salah satu kelompok paling rajin yang beroperasi atas nama kepentingan negara-negara China,” kata Cybereason. “Ancaman [actor] menggunakan rantai infeksi multi-tahap yang rumit yang sangat penting untuk memungkinkan kelompok itu tetap tidak terdeteksi begitu lama.”