TIKTAK.ID – Nama grup hacker Naikon kembali menjadi perbincangan usai melancarkan serangan malware backdoor Aria-body yang menginfeksi komputer pemerintahan. Padahal, lima tahun ke belakang nama Naikon sudah tak muncul lagi dalam laporan-laporan keamanan siber.
Pada 2015 silam, nama Naikon muncul saat mereka menyusup ke komputer pemerintah dan perusahaan nasional di negara-negara Asia Tenggara. New York Times menyebut Naikon berbasis di China.
Kala itu, Naikon terbilang aktif melakukan aksi spionase siber ke berbagai negara. Di antaranya Indonesia, Filipina, Malaysia, Kamboja, Vietnam, Myanmar, dan Nepal. Malware yang mereka pakai bisa dikategorikan sebagai Advanced Persistent Threat (APT).
Checkpoint yang berbasis di Israel melaporkan Naikon kembali menjalankan Aria-body dan beraksi di Australia dengan menunggangi email sebuah kedutaan negara Asia Pasifik. Diduga, Naikon masih mengincar negara target sebelumnya, yakni Indonesia, Australia dan sejumlah negara Asia Pasifik lainnya. Naikon memakai backdoor baru yang membuatnya lolos dari pantauan.
Di sisi lain, para ahli menemukan bahwa para aktor di belakang Naikon grup tampaknya berbahasa China. Mereka juga menduga target utama Naikon adalah instansi pemerintah tingkat atas dan organisasi sipil serta militer.
Dalam laporan Kaspersky Lab, Naikon diketahui memiliki sejumlah keunggulan, yaitu:
Di setiap negara yang menjadi target, terdapat satu orang yang ditunjuk untuk menjadi operator. Tugas operator itu mengambil keuntungan dari aspek budaya dari negara tersebut, seperti kecenderungan untuk menggunakan akun email pribadi untuk bekerja.
Penempatan infrastruktur (server proxy) dalam suatu negara dengan tujuan memberikan dukungan setiap saat untuk koneksi real-time dan data exfiltration.
Setidaknya sudah lima tahun ini volume aktivitas serangan dilakukan secara tinggi kepada kalangan eksekutif penting dan geo-politik.
Kemampuan untuk platform-independent code, serta mencegat seluruh lalu lintas jaringan.
Terdapat 48 perintah dalam susunan pelaksanaan yang berguna dari jarak jauh. Termasuk perintah melakukan inventarisasi secara lengkap, download dan upload data, menginstal add-on modul, atau bekerja sesuai dengan komando dari pusat.
Pada serangan terbarunya ini, Naikon menggunakan metode yang sama seperti metode pada 2015. Metode itu adalah teknik spear-phishing yang tradisional menggunakan email berisi dokumen yang dirancang untuk menarik korban yang potensial.