APT (Advanced Persistent Threat) Kimsuky menjadi salah satu grup penjahat siber yang patut diwaspadai saat ini, baik bagi individu maupun perusahaan/organisasi.
Pasalnya, dalam ajang Cyber Security Weekend yang digelar Kaspersky pekan lalu di Phuket, Thailand, pakar Kaspersky menyatakan bahwa Kimsuky terus melakukan pembaruan tools (alat) dan taktik dalam melakukan serangan siber.
“Sama seperti grup APT lainnya, grup ini juga memperbarui tools-nya dengan sangat cepat. Pada awal tahun 2022, kami mengamati grup ini menyerang perusahaan media dan lembaga think-tank di Korea Selatan,” kata Seongsu Park, Lead Security Researcher for Global Research and Analysis Team (GReAT), Kaspersky.
Kimsuky (juga dikenal sebagai Thallium, Black Banshee dan Velvet Chollima) adalah grup APT yang aktif melakukan serangan siber, terutama menargetkan entitas terkait Korea Selatan.
Grup APT ini sendiri sudah masuk ke dalam radar Kaspersky sejak tahun 2013. Kimsuky terlibat dalam serangkaian serangan siber seperti social engineering, spear-phishing dan watering hole attacks. Dan perlu diketahui, Kimsuky merupakan aktor utama dibalik serangan KHNP (Korea Hydro & Nuclear Power) di tahun 2014.
Dalam presentasinya di hadapan lebih dari 30 media di wilayah Asia Pasifik, termasuk InfoKomputer, Park mengungkapkan bahwa Kimsuky terus memperluas operasi meraka dengan kapabilitas yang berlimpah.
Grup APT ini terus-menerus melakukan konfigurasi terhadap server command and control (C2) multi-tahap dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.
Sebagai informasi, server C2 adalah server yang membantu grup APT dalam mengendalikan malware mereka dan mengirim perintah jahat ke anggotanya, mengatur spyware, mengirim muatan berbahaya dan banyak lagi.
“Jika sebelumnya ada kurang dari 100 server C2 di tahun 2019, sekarang Kimsuky memiliki 603 malicious command centers hingga Juli tahun ini. Tentu dengan sangat jelas menunjukkan bahwa grup APT ini akan meluncurkan lebih banyak serangan siber, mungkin di luar Semenanjung Korea. Riwayatnya sendiri menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis cryptocurrency di wilayah APAC harus waspada terhadap ancaman tersembunyi dari grup APT ini,” kata Park.
Data Server C2 Kimsuky yang Ditemukan oleh Kaspersky.
Kimsuky GoldDragon
Jumlah server C2 yang meroket adalah bagian dari operasi berkelanjutan Kimsuky di wilayah APAC (Asia Pasifik) dan sekitarnya.
Pada awal 2022, tim ahli Kaspersky mengamati gelombang serangan lain yang menargetkan jurnalis dan entitas diplomatik serta akademik di Korea Selatan.