Mengenal Chrysalis: Virus Spionase Asal Tiongkok yang Menyerang Notepad++

Keamanan aplikasi teks editor populer, Notepad++, baru-baru ini dilaporkan telah dieksploitasi oleh kelompok peretas tingkat tinggi (APT) asal Tiongkok. Mengutip informasi dari laman Cyber Security News dan How2Shout, kelompok yang dikenal sebagai Lotus Blossom atau Billbug ini menyusup melalui infrastruktur aplikasi tersebut untuk menyebarkan malware jenis baru bernama Chrysalis.

Target utama dari serangan spionase ini mencakup organisasi pemerintah, sektor telekomunikasi, dan infrastruktur kritis. Peretas tidak melakukan serangan acak, melainkan menggunakan metode yang sangat terukur untuk mencuri informasi sensitif secara diam-diam dalam jangka waktu lama.

Rantai Serangan: Bagaimana Chrysalis Masuk?

Serangan ini dimulai dengan manipulasi proses pembaruan aplikasi. Korban biasanya tidak menyadari adanya aktivitas berbahaya karena peretas menggunakan teknik yang sangat rapi.

Pertama, pengguna secara tidak sengaja mengunduh file update.exe dari server yang telah dikuasai peretas setelah menjalankan Notepad++. File ini merupakan installer palsu yang kemudian membuat folder tersembunyi bernama "Bluetooth" di dalam direktori aplikasi pengguna.

Kedua, peretas menggunakan teknik DLL sideloading. Mengutip sumber teknis yang ada, mereka menggunakan program sah milik perusahaan keamanan Bitdefender yang sudah dimodifikasi namanya. Program sah ini dipaksa untuk memuat file jahat log.dll yang merupakan inti dari virus Chrysalis. Dengan cara ini, antivirus sering kali terkecoh karena menganggap aktivitas tersebut berasal dari program yang terpercaya.

Fitur Berbahaya Backdoor Chrysalis

Chrysalis bukan sekadar virus penghapus data, melainkan alat spionase yang sangat canggih. Beberapa kemampuan teknisnya meliputi:

• Penyemaran Berbasis AI: Komunikasi antara komputer korban dengan server peretas disamarkan sedemikian rupa agar terlihat seperti lalu lintas data API kecerdasan buatan (AI) yang sah. Hal ini dilakukan untuk menghindari kecurigaan tim keamanan jaringan.
• Kontrol Penuh Jarak Jauh: Terdapat 16 perintah khusus yang memungkinkan peretas untuk membaca dokumen, menulis data baru, bahkan menghapus jejak mereka sendiri setelah berhasil mencuri informasi.
• Sistem Perlindungan Kode: Malware ini memanfaatkan mekanisme internal Windows yang disebut "Warbird" untuk menyembunyikan keberadaan kodenya di dalam memori komputer, sehingga tidak muncul dalam daftar proses standar yang biasa kita lihat di Task Manager.

Kesimpulan

Eksploitasi terhadap Notepad++ ini menjadi pengingat bahwa aplikasi yang kita anggap aman sekalipun dapat menjadi pintu masuk bagi peretas internasional. Kelompok Lotus Blossom asal Tiongkok ini menunjukkan bahwa teknik spionase siber kini semakin sulit dideteksi karena membaur dengan aktivitas perangkat lunak sehari-hari. Pengguna diharapkan lebih berhati-hati terhadap permintaan pembaruan aplikasi yang terlihat tidak wajar.