Kelompok peretas yang terkait dengan Iran, MuddyWater (alias Seedworm, Static Kitten) meluncurkan kampanye spionase dunia maya yang luas yang menargetkan setidaknya sembilan organisasi terkenal di berbagai sektor dan negara.
Di antara korbannya adalah produsen elektronik besar Korea Selatan, lembaga pemerintah, bandara internasional di Timur Tengah, produsen industri di Asia, dan lembaga pendidikan.
Para peneliti di Symantec mengatakan bahwa pelaku ancaman “menghabiskan waktu seminggu di dalam jaringan produsen elektronik besar Korea Selatan pada bulan Februari 2026.”
Tim Pemburu Ancaman Symantec yakin bahwa penyerangnya didorong oleh intelijen, dengan fokus pada pencurian industri dan kekayaan intelektual, spionase pemerintah, dan akses ke pelanggan hilir atau jaringan perusahaan.
Penyalahgunaan Fortemedia dan SentinelOne
Kampanye Seedworm sangat bergantung pada sideload DLL, sebuah teknik umum di mana perangkat lunak yang sah dan ditandatangani memuat DLL berbahaya.
Dua biner yang dimanfaatkan dalam serangan ini adalah ‘fmapp.exe’, sebuah utilitas audio Foremedia yang sah, dan ‘sentinelmemoryscanner.exe’, sebuah komponen SentinelOne yang sah.
DLL berbahaya (fmapp.dll dan sentinelagentcore.dll) terkandung Lift Chromealat pasca-eksploitasi komoditas yang mencuri data yang disimpan di browser berbasis Chrome.
Symantec juga menemukan bahwa PowerShell, yang digunakan dalam serangan Seedworm sebelumnya, masih banyak digunakan dalam insiden baru-baru ini, meskipun muatannya dikendalikan melalui loader Node.js, bukan secara langsung.
PowerShell digunakan untuk menangkap tangkapan layar, melakukan pengintaian, mengambil muatan tambahan, membangun persistensi, mencuri kredensial, dan membuat terowongan SOCKS5.
Menyerang perusahaan Korea
Menurut pengamatan Symantec, serangan terhadap produsen elektronik Korea Selatan itu berlangsung antara 20 dan 27 Februari. Para peneliti tidak mengungkapkan nama organisasi yang menjadi sasaran.
Pada tahap pertama, Seedworm melakukan pengintaian host dan domain, dilanjutkan dengan enumerasi antivirus melalui WMI, pengambilan tangkapan layar, dan pengunduhan malware tambahan.
Pencurian kredensial terjadi melalui perintah Windows palsu, pencurian kumpulan registri (SAM/SECURITY/SYSTEM), dan alat penyalahgunaan tiket Kerberos.
Persistensi dibangun melalui modifikasi registri, suar terjadi pada interval 90 detik, dan biner yang di-sideload diluncurkan kembali berulang kali untuk mempertahankan akses.
“Iramanya sekali lagi konsisten dengan aktivitas yang didorong oleh implan, bukan kehadiran operator yang terus-menerus,” demikian kata peneliti.
Para penyerang memanfaatkan sendit.sh, layanan berbagi file publik untuk eksfiltrasi data, yang kemungkinan besar akan mengaburkan aktivitas jahat dan membuatnya tampak seperti lalu lintas normal.
Secara keseluruhan, Symantec berpendapat bahwa kampanye Seedworm terbaru ini terkenal karena ekspansi geografis pelaku ancaman, kematangan operasional, dan penyalahgunaan alat dan layanan yang sah, yang menandai pergeseran ke arah serangan yang lebih senyap.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
