Pada awal tahun 2025, Tim Riset dan Analisis Global Kaspersky (GReAT) berhasil mengidentifikasi adanya kampanye baru dari kelompok Advanced Persistent Threat (APT) yang diberi nama ‘Mysterious Elephant’. Kelompok ini secara spesifik menargetkan entitas pemerintahan dan organisasi urusan luar negeri (foreign affairs) di seluruh kawasan Asia Pasifik.
Motifnya tunggal dan sangat berbahaya: mencuri informasi yang sangat sensitif, termasuk dokumen, gambar, dan berkas arsip, dengan target eksfiltrasi utama adalah data WhatsApp. Dari banyaknya negara di kawasan tersebut, fokus para peretas ada di negara-negara seperti Pakistan, Bangladesh, Afghanistan, Nepal, Sri Lanka, dan lainnya.
Kampanye yang dilancarkan kelompok ini pada 2025 menandai pergeseran signifikan dalam TTP (Tactic, Technique, and Procedure) mereka. Para penyerang kini beralih menggunakan kombinasi alat yang dibuat khusus dan alat sumber terbuka (open source) untuk mencapai tujuan mereka. Aktor ancaman memanfaatkan kombinasi kit eksploitasi, email spear-phishing yang dipersonalisasi, dan dokumen berbahaya yang disesuaikan untuk setiap korban tertentu guna mendapatkan akses awal ke jaringan.
Setelah berhasil masuk, para penyerang menggunakan berbagai alat dan teknik untuk meningkatkan hak istimewa (privileges), bergerak secara lateral, dan mengeksfiltrasi data sensitif.
BabShell dan Skrip PowerShell sebagai Senjata Utama
Skrip PowerShell membentuk pondasi utama operasi Mysterious Elephant. Skrip ini memungkinkan kelompok tersebut mengeksekusi perintah, menyebarkan malware tambahan, dan mempertahankan persistensi pada sistem yang telah disusupi. Kelompok ini cerdik karena menggunakan alat dan utilitas sistem yang sah (legitimate system utilities) untuk melakukan operasi berbahaya, membuatnya sulit dideteksi oleh solusi keamanan tradisional.
Salah satu alat utama dalam arsenal kelompok ini adalah BabShell, sebuah reverse shell yang memberikan penyerang akses langsung ke mesin yang terinfeksi. Setelah dieksekusi, alat ini mengumpulkan informasi sistem penting, seperti nama pengguna, nama komputer, dan alamat MAC, untuk mengidentifikasi target secara unik. BabShell juga berfungsi sebagai landasan peluncuran untuk modul-modul canggih seperti MemLoader HidenDesk, yang mengeksekusi payload berbahaya di dalam memori, sekaligus memanfaatkan enkripsi dan kompresi untuk menghindari deteksi.
Target Khusus: Pencurian Data WhatsApp
Kampanye Mysterious Elephant ini menjadi perhatian khusus karena fokusnya pada pencurian data WhatsApp. Para penyerang telah mengembangkan modul khusus yang memiliki kemampuan mengekstrak file yang dibagikan melalui aplikasi, termasuk dokumen sensitif, foto, dan arsip. Targeting ini sangat mengkhawatirkan mengingat betapa seringnya aplikasi pesan digunakan untuk berbagi komunikasi dan dokumen resmi di lingkungan kerja.
Noushin Shabab, Chief Security Researcher di Kaspersky GReAT, menjelaskan bahwa infrastruktur penyerang ini dibangun untuk kerahasiaan dan ketahanan. Mereka menggunakan jaringan domain dan alamat IP, rekaman DNS wildcard, VPS, dan hosting cloud. Rekaman DNS wildcard memungkinkan kelompok tersebut menghasilkan subdomain unik untuk setiap permintaan, meningkatkan skala operasi dengan cepat, dan mempersulit pelacakan oleh tim keamanan.
Mitigasi Serangan dan Kesiapan Organisasi
Noushin Shabab menekankan bahwa memahami TTP kelompok ini, berbagi threat intelligence, dan menerapkan langkah-langkah penanggulangan yang efektif sangat penting untuk mengurangi risiko serangan. Untuk memitigasi serangan serupa, Kaspersky merekomendasikan beberapa praktik terbaik.
Pertama, pastikan agen keamanan dikerahkan di semua workstation tanpa kecuali untuk memungkinkan deteksi insiden yang tepat waktu. Kedua, tinjau dan kendalikan hak istimewa layanan dan akun pengguna, menghindari pemberian hak yang berlebihan, terutama untuk akun yang digunakan di banyak host.
Ketiga, organisasi dapat memanfaatkan solusi keamanan terkelola yang mencakup seluruh siklus manajemen insiden, serta memberikan profesional InfoSec visibilitas mendalam tentang ancaman yang menargetkan organisasi mereka.
