Pusat Keamanan Siber Nasional Inggris (NCSC-UK) dan mitra internasionalnya memperingatkan bahwa peretas China-nexus semakin banyak menggunakan jaringan proxy berskala besar pada perangkat konsumen yang dibajak untuk menghindari deteksi dan menyamarkan aktivitas jahat mereka.
Penasihat bersama ini, yang ditandatangani bersama oleh lembaga-lembaga dari Amerika Serikat, Australia, Kanada, Jerman, Jepang, Belanda, Selandia Baru, Spanyol, dan Swedia, menyatakan bahwa sebagian besar kelompok peretas Tiongkok telah beralih dari infrastruktur yang diperoleh secara individual ke sejumlah besar perangkat yang disusupi, terutama router kantor kecil dan kantor rumah, serta kamera yang terhubung ke internet, perekam video, dan peralatan penyimpanan yang terhubung ke jaringan (NAS).
Botnet besar ini memungkinkan mereka mengarahkan lalu lintas melalui rangkaian perangkat yang disusupi, memasuki jaringan pada satu titik, melewati beberapa node perantara, dan keluar di dekat target yang dituju untuk menghindari deteksi geografis.
“NCSC percaya bahwa mayoritas aktor ancaman Tiongkok-nexus menggunakan jaringan ini [..]bahwa beberapa jaringan rahasia telah dibuat dan terus diperbarui, dan bahwa satu jaringan rahasia dapat digunakan oleh banyak aktor,” bacaan penasehat bersama.
“Jaringan ini sebagian besar terdiri dari router Small Office Home Office (SOHO), serta Internet of Things (IoT) dan perangkat pintar.”
Salah satu botnet Tiongkok yang sangat besar, yang dikenal sebagai Kereta Raptormenginfeksi lebih dari 260.000 perangkat di seluruh dunia pada tahun 2024 dan dikaitkan oleh FBI dengan aktivitas jahat yang dikaitkan dengan kelompok peretas Flax Typhoon yang disponsori negara Tiongkok dan perusahaan Tiongkok Integrity Technology Group (disetujui pada bulan Januari 2025).
FBI mengganggu Kereta Raptor pada bulan September 2024 dengan bantuan para peneliti di Black Lotus Labs setelah mengaitkannya dengan kampanye yang menargetkan entitas di sektor militer, pemerintahan, pendidikan tinggi, telekomunikasi, basis industri pertahanan (DIB), dan TI, terutama di AS dan Taiwan.
Jaringan terpisah (KV-Botnet) digunakan oleh kelompok ancaman Volt Typhoon yang didukung negara Tiongkok dan sebagian besar terdiri dari router Cisco dan Netgear yang rentan dan sudah ketinggalan zaman dan tidak lagi menerima patch keamanan. FBI juga mengganggu KV-Botnet dengan menghapus malware dari router yang terinfeksi pada Januari 2024, tetapi Volt Typhoon perlahan mulai menghidupkannya kembali pada bulan November 2024 setelah an upaya awal yang gagal pada bulan Februari.
“Operasi botnet merupakan ancaman signifikan bagi Inggris dengan mengeksploitasi kerentanan pada perangkat yang terhubung ke internet sehari-hari yang berpotensi melakukan serangan siber berskala besar,” kata Paul Chichester, Direktur Operasi NCSC-UK.
Badan-badan intelijen Barat yang menandatangani peringatan tersebut memperingatkan bahwa pertahanan tradisional yang didasarkan pada pemblokiran daftar statis alamat IP berbahaya menjadi kurang efektif karena botnet ini terus-menerus menambahkan node baru yang telah disusupi.
Sebaliknya, pembela jaringan di organisasi kecil, menengah, dan besar disarankan untuk menerapkan autentikasi multifaktor, memetakan perangkat tepi jaringan, memanfaatkan umpan ancaman dinamis yang mencakup indikator jaringan rahasia yang diketahui, dan, jika memungkinkan, menerapkan daftar IP yang diizinkan, kontrol tanpa kepercayaan, dan verifikasi sertifikat mesin.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
