Google mengungkap malware BadAudio yang digunakan dalam kampanye spionase APT24

Peretas APT24 yang terkait dengan Tiongkok telah menggunakan malware yang sebelumnya tidak berdokumen bernama BadAudio dalam kampanye spionase selama tiga tahun yang baru-baru ini beralih ke metode serangan yang lebih canggih.

Sejak tahun 2022, malware tersebut telah dikirimkan ke korban melalui berbagai metode yang mencakup spearphishing, penyusupan rantai pasokan, dan serangan watering hole.

Evolusi kampanye

Dari November 2022 hingga setidaknya September 2025, APT24 menyusupi lebih dari 20 situs web publik yang sah dari berbagai domain untuk memasukkan kode JavaScript berbahaya yang memilih pengunjung yang diinginkan – fokusnya secara eksklusif pada sistem Windows.

Para peneliti di Google Threat Intelligence Group (GTIG) mengatakan bahwa skrip tersebut mengambil sidik jari pengunjung yang memenuhi syarat sebagai target dan memuat pop-up pembaruan perangkat lunak palsu untuk memikat mereka agar mengunduh BadAudio.

Mulai Juli 2024, APT24 beberapa kali menyusupi perusahaan pemasaran digital di Taiwan yang menyediakan pustaka JavaScript ke situs web klien.

Melalui taktik ini, penyerang menyuntikkan JavaScript berbahaya ke perpustakaan yang banyak digunakan dan didistribusikan oleh perusahaan, dan mendaftarkan nama domain yang meniru Jaringan Pengiriman Konten (CDN) yang sah. Hal ini memungkinkan penyerang untuk menyusupi lebih dari 1.000 domain.

Dari akhir tahun 2024 hingga Juli 2025, APT24 berulang kali menyusupi perusahaan pemasaran yang sama dengan memasukkan JavaScript berbahaya dan dikaburkan ke dalam file JSON yang dimodifikasi, yang dimuat oleh file JavaScript terpisah dari vendor yang sama.

Setelah dieksekusi, ia mengambil sidik jari setiap pengunjung situs web dan mengirimkan laporan berkode base64 ke server penyerang, memungkinkan mereka memutuskan apakah mereka akan membalas dengan URL tahap berikutnya.

Secara paralel, mulai Agustus 2024, APT24 meluncurkan operasi spearphishing yang mengirimkan malware BadAudio menggunakan email umpan yang menyamar sebagai organisasi penyelamat hewan.

Dalam beberapa varian serangan ini, APT24 menggunakan layanan cloud yang sah seperti Google Drive dan OneDrive untuk distribusi malware, bukan menggunakan server mereka sendiri. Namun, Google mengatakan bahwa banyak upaya yang terdeteksi, dan pesan-pesan tersebut berakhir di kotak spam.

Namun, dalam kasus yang diamati, email menyertakan piksel pelacakan untuk mengonfirmasi kapan penerima membukanya.

Pemuat malware BadAudio

Menurut analisis GTIG, malware BadAudio dikaburkan untuk menghindari deteksi dan menghalangi analisis oleh peneliti keamanan.

Ini mencapai eksekusi melalui pembajakan perintah pencarian DLL, sebuah teknik yang memungkinkan muatan berbahaya dimuat oleh aplikasi yang sah.

“Malware ini direkayasa dengan perataan aliran kontrol—sebuah teknik pengaburan canggih yang secara sistematis membongkar logika alami dan terstruktur suatu program,” jelas GTIG dalam laporannya hari ini.

“Metode ini menggantikan kode linier dengan serangkaian blok terputus yang diatur oleh ‘pengirim’ pusat dan variabel status, sehingga memaksa analis untuk melacak setiap jalur eksekusi secara manual dan secara signifikan menghambat upaya rekayasa balik otomatis dan manual.”

Setelah BadAudio dijalankan pada perangkat target, ia mengumpulkan rincian sistem dasar (nama host, nama pengguna, arsitektur), mengenkripsi informasi menggunakan kunci AES yang dikodekan secara keras, dan mengirimkannya ke alamat perintah dan kontrol (C2) yang dikodekan secara keras.

Selanjutnya, ia mengunduh payload terenkripsi AES dari C2, mendekripsinya, dan mengeksekusinya di memori untuk menghindari menggunakan sideload DLL.

Setidaknya dalam satu kasus, peneliti Google mengamati penerapan Cobalt Strike Beacon melalui BadAudio, kerangka pengujian penetrasi yang banyak disalahgunakan.

Para peneliti menggarisbawahi bahwa mereka tidak dapat memastikan keberadaan Cobalt Strike Beacon dalam setiap kejadian yang mereka analisis.

Perlu dicatat bahwa meskipun menggunakan BadAudio selama tiga tahun, taktik APT24 berhasil menjaganya agar tidak terdeteksi.

Dari delapan sampel yang diberikan peneliti GTIG dalam laporan mereka, hanya dua yang ditandai sebagai berbahaya oleh lebih dari 25 mesin antivirus pada platform pemindaian VirusTotal. Sampel lainnya, dengan tanggal pembuatan 7 Desember 2022, terdeteksi oleh hingga lima solusi keamanan.

GTIG mengatakan bahwa evolusi APT24 menuju serangan yang lebih tersembunyi didorong oleh kemampuan operasional pelaku ancaman dan “kapasitasnya untuk melakukan spionase yang persisten dan adaptif.”