Kelompok Hacker Terkait China Memanfaatkan Google Calendar untuk Mencuri Informasi Sensitif
Pada sebuah pengungkapan yang mengkhawatirkan, Grup Intelijen Ancaman Google (GTIG) mengungkapkan bahwa sekelompok hacker yang memiliki keterkaitan dengan China berhasil menggunakan Google Calendar sebagai alat untuk mencuri informasi sensitif dari individu. Kelompok ini dikenal dengan nama APT41 atau HOODOO dan diyakini memiliki hubungan dengan pemerintah China.
Menurut laporan dari GTIG, serangan ini dimulai dengan kampanye phishing yang terarah. Metode ini melibatkan pengiriman email yang dirancang secara cermat kepada target-target spesifik. Email-email ini menyertakan tautan ke file ZIP yang dihosting di situs web pemerintah yang telah diretas. Ketika korban membuka file ZIP tersebut, mereka akan menemukan file pintasan yang menyamar sebagai PDF serta sebuah folder yang berisi beberapa gambar serangga dan laba-laba.
Akan tetapi, dua dari file gambar tersebut ternyata palsu dan sebenarnya mengandung perangkat lunak berbahaya. Ketika korban mengklik pintasan tersebut, malware itu akan aktif dan bahkan menggantikan dirinya dengan PDF palsu yang tampaknya membahas tentang regulasi ekspor spesies, kemungkinan besar untuk menghindari kecurigaan.
Malware ini berfungsi dalam tiga langkah. Pertama, ia mendekripsi dan menjalankan file bernama PLUSDROP dalam memori komputer. Kemudian, ia menggunakan proses Windows yang dikenal untuk secara diam-diam menjalankan kode berbahaya. Pada tahap terakhir, sebuah program bernama TOUGHPROGRESS menjalankan perintah-perintah dan mencuri data.
Yang menjadikan serangan ini tidak biasa adalah penggunaan Google Calendar sebagai alat komunikasi. Malware ini menciptakan acara-acara singkat yang berdurasi nol menit pada tanggal tertentu. Acara-acara ini menyertakan data terenkripsi atau instruksi yang disembunyikan dalam kolom deskripsinya. Malware secara rutin memeriksa acara kalender ini untuk mencari perintah baru dari hacker. Setelah menyelesaikan tugas, ia akan membuat acara lain dengan informasi yang dicuri.
Google mengungkapkan bahwa kampanye ini terdeteksi pada bulan Oktober 2024 setelah mereka menemukan malware yang menyebar dari sebuah situs web pemerintah yang telah diretas. Sejak itu, perusahaan teknologi ini telah menutup akun kalender yang digunakan oleh para hacker dan menghapus bagian-bagian lain dari infrastruktur online mereka.
