Penjelasan tentang laporan "Active Lycantrox Infrastructure Illumination"
Penjelasan tentang laporan "Active Lycantrox Infrastructure Illumination" oleh Sekoia.io:
🧠 Latar Belakang
Laporan ini merespons blogpost CitizenLab tentang penggunaan spyware Predator milik perusahaan Cytrox yang dipasang pada perangkat iPhone milik mantan anggota parlemen Mesir, Ahmed Eltantawy, lewat eksploitasi zero-day yang memanfaatkan celah di iOS versi 16.6.1 ke bawah.
Cytrox dan konsorsiumnya, Intellexa, dikenal sebagai bagian dari jaringan cyber mercenaries—penjual spyware kepada pemerintah untuk memata-matai jurnalis, aktivis, dan lawan politik.
🔍 Apa itu Lycantrox dan Karkadann?
Lycantrox: Nama intrusion set (grup/klaster serangan) untuk pelanggan Cytrox yang dilacak oleh Sekoia.
Karkadann: Nama intrusion set untuk pelanggan Candiru, vendor spyware lainnya.
Ada kemiripan infrastruktur antara pelanggan Cytrox dan Candiru yang menunjukkan pelanggan bersama atau pendekatan teknis yang sama.
🕵️♂️ Tujuan Investigasi
Sekoia.io mengungkap dan memetakan infrastruktur yang digunakan oleh kelompok Lycantrox untuk membantu komunitas keamanan siber dan calon korban.
🧩 Temuan Teknis
Infrastruktur Lycantrox memakai VPS (Virtual Private Servers) tersebar di berbagai Autonomous Systems (AS).
Ciri khas: VPS hanya buka port 22 (SSH) dan port 443 (HTTPS/Nginx).
Port 443 hanya merespon bila hostname benar, jika tidak, koneksi langsung diputus.
🔎 Heuristik yang digunakan:
Mendeteksi VPS dengan port terbatas.
Mengecek DNS records pasif untuk mengidentifikasi domain terkait.
Melakukan pemeriksaan aktif:
Situs palsu selalu memberi respon HTTP 204 (meski muncul error 404).
Ini menjadi ciri khas untuk mengidentifikasi domain milik Lycantrox.
🌍 Target Negara & Konteks Politik
Madagaskar
emergence-mada[.]com, soutien-a-rajoelina[.]com
Mendukung kampanye presiden Rajoelina. Situs palsu, tapi tidak ditemukan skrip jahat.
Indonesia
suarajubi[.]net, suarajubi[.]com
Kemungkinan targeting media oposisi Papua (Jubi TV). Dugaan keterlibatan intelijen Indonesia.
Kazakhstan
Banyak domain media lokal
Negara dengan sejarah memakai spyware untuk memata-matai aktivis.
Angola
folha-9[.]com, cnn-portugal[.]com, dll
Domain typosquat media lokal dan entitas nasional. Dugaan keterlibatan pemerintah Angola.
📌 Indikator Kompromi (IoC)
Sekoia membagikan lebih dari 100 domain yang dikaitkan dengan infrastruktur Lycantrox, dibagi menjadi dua kategori:
Aktif & berisiko tinggi
Dormant (tidak aktif saat investigasi)
📥 Tools yang disarankan:
MVT (Mobile Verification Toolkit) – untuk periksa log Android/iOS.
SPYGUARD – untuk monitoring lalu lintas jaringan secara real-time.
📚 Kesimpulan
Infrastruktur Lycantrox semakin kompleks dan tersembunyi, namun justru itu membuatnya bisa dibedakan secara heuristik.
Indikasi kuat bahwa spyware Predator digunakan secara global untuk pengawasan politik.
Sekoia mendorong komunitas untuk menggunakan indikator yang dibagikan guna melindungi diri dari pemantauan ilegal.
Sumber:
Sekoia.io Threat Detection & Research. “Active Lycantrox infrastructure illumination” https://blog.sekoia.io/active-lycantrox-infrastructure-illumination/
Last updated