Waspadai Update Notepad++ Mencurigakan, Ada Ancaman Spionase dari Hacker Tiongkok

Keamanan perangkat lunak yang kita gunakan sehari-hari kini menjadi sasaran utama para peretas tingkat tinggi. Mengutip laporan dari Cyber Security News dan How2Shout, para peneliti keamanan telah mengidentifikasi kampanye spionase siber yang sangat canggih. Kampanye ini mengeksploitasi infrastruktur aplikasi teks editor populer, Notepad++, untuk menyebarkan backdoor berbahaya yang diberi nama Chrysalis.

Serangan ini diatribusikan kepada kelompok peretas asal Tiongkok, Lotus Blossom (dikenal juga sebagai Billbug). Mereka menyasar organisasi di sektor pemerintahan, telekomunikasi, dan infrastruktur kritis dengan cara menyusupkan kode jahat melalui mekanisme pembaruan perangkat lunak.

Rantai Serangan dan Cara Kerja Malware

Berdasarkan data teknis yang dihimpun dari sumber tersebut, serangan ini tidak terjadi secara langsung, melainkan melalui beberapa tahapan yang sangat rapi untuk menghindari deteksi antivirus konvensional.

Serangan dimulai ketika pengguna secara tidak sengaja mengunduh file bernama update.exe dari alamat IP palsu setelah menjalankan Notepad++ yang sah. File ini sebenarnya adalah pemuat (loader) yang akan memasukkan malware Chrysalis ke dalam sistem. Penyerang menggunakan teknik DLL Sideloading, yakni meminjam identitas aplikasi sah (dalam hal ini biner milik Bitdefender yang diganti namanya) untuk menjalankan file jahat log.dll.

Karakteristik Teknis Chrysalis

• Penyamaran Lalu Lintas: Mengutip sumber How2Shout, malware ini berkomunikasi dengan server peretas menggunakan struktur yang meniru API kecerdasan buatan (DeepSeek), sehingga lalu lintas datanya tampak normal bagi tim IT.
• Kemampuan Pengendalian: Chrysalis memiliki 16 perintah kontrol yang memungkinkan peretas membaca, menulis, menghapus file, hingga menjalankan perintah shell secara jarak jauh di komputer korban.
• Penghindaran Deteksi: Menggunakan mekanisme Microsoft Warbird untuk menyembunyikan eksekusi kode di dalam memori sistem, sehingga sulit dilacak oleh alat keamanan standar.

Langkah Penanganan Setelah Menjadi Korban

Jika Anda atau organisasi Anda terindikasi menjadi korban dari eksploitasi ini, diperlukan tindakan pemulihan yang cepat dan tepat. Mengutip prosedur penanganan insiden siber, berikut adalah langkah-langkah yang harus diambil:

• Isolasi Perangkat: Segera putuskan koneksi internet pada perangkat yang dicurigai terinfeksi untuk menghentikan pengiriman data ke server peretas.
• Pembersihan Manual: Hapus folder tersembunyi bernama "Bluetooth" di dalam direktori %AppData% dan cari file mencurigakan seperti update.exe atau log.dll yang berada di luar lokasi instalasi seharusnya.
• Blokir Akses Jaringan: Tim IT disarankan memblokir domain api.skycloudcenter.com dan alamat IP 95.179.213.0 pada firewall jaringan.
• Audit Kredensial: Segera ganti kata sandi semua akun penting, terutama akun administratif, karena ada risiko data login telah dicuri oleh peretas.

Pencegahan di Masa Depan

Belajar dari kasus hack Notepad++ ini, pengguna disarankan untuk selalu mengunduh pembaruan hanya dari situs resmi notepad-plus-plus.org. Selain itu, penting untuk memperhatikan peringatan jika ada proses pembaruan aplikasi yang meminta akses ke alamat IP yang tidak dikenal.

Penerapan prinsip Zero Trust dalam lingkungan kerja, di mana setiap aplikasi—termasuk yang dianggap aman—tetap diawasi aktivitas jaringannya, menjadi solusi jangka panjang yang efektif. Kesadaran akan ancaman ini adalah langkah awal untuk melindungi data pribadi dan rahasia perusahaan dari upaya spionase siber.

Daftar Indikator Kompromi (IoC)

• File: update.exe (SHA-256: a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9)
• Folder: %AppData%\Roaming\Bluetooth
• Server C2: api.skycloudcenter.com