Insiden Adversary-in-the-Middle (AitM)

🧠 Ringkasan Singkat

TheWizards, sebuah grup peretas asal Tiongkok, menggunakan alat lateral movement bernama Spellbinder untuk melakukan Adversary-in-the-Middle (AitM) melalui teknik spoofing IPv6 SLAAC (Stateless Address Autoconfiguration). Tujuannya adalah membajak proses pembaruan aplikasi populer Tiongkok seperti Sogou Pinyin dan Tencent QQ, dan mengarahkan aplikasi tersebut ke server jahat yang mengirimkan malware bernama WizardNet.

🔍 Detail Utama Serangan

  • Spellbinder memanfaatkan ICMPv6 Router Advertisement (RA) untuk menyamar sebagai router IPv6.

  • Setelah gateway korban dialihkan, DNS query ke domain pembaruan (misalnya update.browser.qq.com) diarahkan ke server jahat.

  • Server tersebut mengirimkan update palsu yang berisi WizardNet, sebuah backdoor modular untuk sistem Windows.

  • Proses ini diawali dengan pengiriman arsip ZIP yang berisi:

    • AVGApplicationFrameHost.exe (untuk DLL sideloading)

    • wsc.dll (berisi shellcode)

    • log.dat (kode shell)

    • winpcap.exe (untuk sniffing dan manipulasi paket)

🎯 Target Serangan

  • Individu dan sektor perjudian di: Kamboja, Hong Kong, Tiongkok Daratan, Filipina, dan Uni Emirat Arab

🧬 Kaitan dengan Alat Lain

  • Teknik serupa sebelumnya digunakan oleh grup Blackwood dan PlushDaemon untuk menyebarkan malware NSPX30 dan LittleDaemon melalui pembaruan Sogou Pinyin.

  • TheWizards juga diketahui menggunakan DarkNights (alias DarkNimbus) untuk perangkat Android.

  • Malware DarkNights diduga disuplai oleh kontraktor keamanan siber Tiongkok, UPSEC (Sichuan Dianke Network Security Technology Co., Ltd.), yang disebut sebagai “digital quartermaster” bagi TheWizards.

📌 Kesimpulan

Spellbinder adalah contoh lanjutan dari serangan berbasis jaringan IPv6 yang:

  • Mengeksploitasi kepercayaan terhadap autokonfigurasi IPv6 (SLAAC).

  • Memungkinkan penyerang menyusupkan malware secara diam-diam melalui pembaruan aplikasi yang tampaknya sah.

  • Melibatkan infrastruktur malware tingkat lanjut dan kolaborasi dengan aktor negara.

Sumber:

Lakshmanan, R. (2025, April 30). Chinese Hackers Abuse IPv6 SLAAC for AitM Attacks via Spellbinder Lateral Movement Tool. The Hacker News. https://thehackernews.com/2025/04/chinese-hackers-abuse-ipv6-slaac-for.html

PreviousSerangan IPv6 Spoofing dan Adversary-in-the-Middle (AitM)NextKeamanan Digital

Last updated