Skip to content
[ root@retasan:~# Friday, Jul 17, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Cyberwarfare

Kampanye HelloNet: APT Baru Manfaatkan Sistem Update ViPNet untuk Serang Organisasi Kritis Rusia

// by retasan-news July 16, 2026 5 min read
HelloNet APT Campaign - Kaspersky Research

Lembaga riset keamanan Kaspersky mengungkap kampanye APT (Advanced Persistent Threat) baru bernama HelloNet yang menargetkan organisasi besar di Rusia melalui celah keamanan pada sistem update ViPNet, sebuah software kompleks untuk membangun jaringan terenkripsi. Kampanye ini aktif sejak Mei 2026 dan menggunakan toolset yang sebelumnya tidak dikenal, termasuk malware berbasis Rust, process injection ke svchost.exe, dan mekanisme proxy tersembunyi untuk mengelabui solusi keamanan berbasis user-mode. Target serangan mencakup sektor pemerintahan, energi, transportasi, pendidikan, logistik, dan industri berat.

APA YANG TERJADI?

Peneliti Kaspersky menemukan file berbahaya bernama `wtsapi32.dll` di direktori `C:\Program Files (x86)\InfoTeCS\VIPNet Update System`, yang merupakan komponen sistem update ViPNet. File ini memanfaatkan teknik DLL Sideloading terhadap executable `itcsrvup64.exe` yang otomatis dijalankan saat sistem operasi dimulai. Dengan menempatkan malicious DLL di direktori tersebut, penyerang berhasil melakukan persistensi di sistem target melalui komponen update yang sah secara kriptografis. Setelah dimuat, DLL berbahaya tersebut melakukan process injection ke `svchost.exe` menggunakan fungsi `NtWriteVirtualMemory` dan `NtCreateThreadEx` untuk menjalankan payload berikutnya di memori.

DETAIL TEKNIS

Rantai malware HelloNet terdiri dari beberapa komponen bertingkat. HelloInjector (wtsapi32.dll) bertindak sebagai loader yang mencari proses svchost dengan command line berisi string `netsvcs`, kemudian melakukan injeksi ke dalamnya. Payload utamanya, HelloProxy, berfungsi sebagai hidden proxy sekaligus loader modul berikutnya. HelloProxy bekerja dengan melakukan hooking pada fungsi `NtDeviceIoControlFile`, `closesocket`, dan `shutdown` menggunakan library Detours dari Microsoft. Mekanisme ini memungkinkan HelloProxy untuk memfilter IOCTL codes AFD_RECV (0x12017) dan AFD_GET_TDI_HANDLES (0x12037), sehingga dapat mengelabui solusi keamanan user-mode yang bekerja di level socket filtering. HelloProxy mendengarkan port 5003 dan 5060, dengan mekanisme handshake khusus yang mengirimkan dua byte `0x0502` dan menunggu respons berisi string `ASDFASFSAFASDF` untuk membedakan traffic C2 dari traffic normal.

Dua modul tambahan ditemukan di svchost: HelloExecutor yang memungkinkan eksekusi command di sistem terinfeksi, dan HelloCleaner yang menghapus file log ViPNet untuk menyembunyikan jejak penyerang. Selain itu, HelloBackdoor berbasis Rust ditemukan mendengarkan port 443 dengan mekanisme aktivasi menggunakan paruh kedua MD5 hash dari string `hello\n` (yaitu `47c6235b4d2611184`). Backdoor ini mendukung perintah `!upload`, `!down`, dan `!stop` untuk manipulasi file sistem, serta eksekusi command arbitrary melalui `cmd.exe`. Analisis terhadap sample DLL menemukan string HTTP request ke `news.sina.com`, dan proses kompilasi Rust dilakukan menggunakan mirror dari `mirrors.ustc.edu.cn`, yang mengarah ke kemungkinan atribusi terhadap kelompok APT berbahasa Mandarin, meskipun dengan tingkat kepercayaan rendah.

DAMPAK TERHADAP INDONESIA

Meskipun kampanye HelloNet secara spesifik menargetkan organisasi di Rusia, teknik dan toolset yang digunakan memiliki implikasi serius bagi lanskap keamanan siber Indonesia. ViPNet adalah salah satu software VPN terenkripsi yang digunakan di berbagai negara untuk komunikasi sensitif, dan Indonesia sendiri memiliki ketergantungan terhadap berbagai vendor perangkat lunak asing untuk infrastruktur jaringan kritis. Teknik DLL Sideloading melalui mekanisme update software yang sah merupakan pola serangan yang semakin populer dan dapat diadaptasi terhadap software serupa yang digunakan di Indonesia, termasuk produk VPN lokal maupun internasional. BSSN telah mencatat peningkatan serangan APT yang menargetkan infrastruktur pemerintah Indonesia, dan kasus ini memperkuat perlunya penerapan zero trust architecture serta pemantauan ketat terhadap aktivitas proses di sistem yang menjalankan software jaringan terenkripsi. Dalam konteks SKKNI Siber, organisasi Indonesia yang mengelola infrastruktur kritis wajib menerapkan monitoring terhadap aktivitas process injection dan anomali pada proses system seperti svchost.exe.

REKOMENDASI MITIGASI

Organisasi yang menggunakan ViPNet atau software jaringan terenkripsi serupa harus segera melakukan audit terhadap integritas file komponen update. Pantau aktivitas process injection pada svchost.exe dari proses update, karena secara legitimit komponen update tidak seharusnya melakukan injeksi kode ke dalam proses sistem. Terapkan monitoring terhadap port 5003, 5060, dan 443 untuk mendeteksi anomali traffic yang berkaitan dengan mekanisme handshake HelloProxy atau HelloBackdoor. Gunakan EDR yang mampu mendeteksi penggunaan fungsi `NtWriteVirtualMemory` dan `NtCreateThreadEx` dari proses yang tidak wajar. Pastikan juga solusi NDR (Network Detection and Response) dikonfigurasi untuk memantau traffic yang menggunakan port non-standar untuk komunikasi C2. Terapkan principle of least privilege pada sistem yang menjalankan ViPNet, dan pastikan hak akses administrator tidak diberikan secara default ke semua user.

Analisa Retasan

Kampanye HelloNet menunjukkan evolusi yang mengkhawatirkan dalam teknik persistensi APT melalui eksploitasi komponen update software yang sah. Teknik DLL Sideloading melalui ViPNet Update System bukan yang pertama kali terjadi. Pada tahun 2025, Kaspersky juga mendeteksi backdoor canggih yang meniru mekanisme update ViPNet, menunjukkan bahwa threat actor telah lama mengincar software ini sebagai vektor serangan. Pola ini mengingatkan pada serangan SolarWinds SUNBURST di mana komponen update menjadi titik masuk utama kompromisasi supply chain, namun dalam kasus HelloNet pendekatannya lebih langsung dengan menempatkan malicious DLL di direktori update secara lokal.

Yang menarik dari analisis teknis HelloProxy adalah pendekatan intercept function menggunakan library Detours untuk memanipulasi IOCTL codes level socket. Teknik ini memungkinkan malware untuk melewati filtering yang dilakukan oleh solusi keamanan user-mode, karena IOCTL handling berada di bawah level aplikasi. Mekanisme handshake dengan password statis `ASDFASFSAFASDF` dan byte identifier `0x0502` menunjukkan bahwa C2 communication masih mengandalkan pendekatan yang relatif sederhana namun efektif. Sementara itu, penggunaan Rust untuk HelloBackdoor dengan fitur upload, download, dan arbitrary command execution menunjukkan adanya peningkatan sophistication dalam tooling yang digunakan oleh APT ini.

Dari perspektif Indonesia, kampanye ini menjadi studi kasus penting tentang risiko supply chain attack pada software infrastruktur jaringan. Banyak organisasi pemerintah dan BUMN di Indonesia menggunakan software VPN terenkripsi dari berbagai vendor, dan jika salah satu dari software tersebut memiliki mekanisme update yang rentan terhadap DLL Sideloading, maka seluruh infrastruktur yang bergantung padanya berada dalam risiko kompromisasi. BSSN perlu mempertimbangkan untuk menerbitkan advisory teknis mengenai audit keamanan komponen update pada software infrastruktur jaringan yang digunakan di sektor kritis Indonesia. Selain itu, SKKNI Siber harus memasukkan persyaratan spesifik mengenai pemantauan terhadap aktivitas process injection dari komponen update sebagai bagian dari standar keamanan minimum bagi organisasi pengelola infrastruktur kritis.

Sumber: Securelist – HelloNet Campaign: New Malware Modules Launched Through ViPNet Update System

Tags: APT DLL Sideloading HelloNet Kaspersky Process Injection ViPNet
Share:

retasan-news

← Previous Cursor 0-day: Eksekusi Kode Sewenang-wenang Tanpa Interaksi Pengguna, Full Disclosure Setelah 7 Bulan Tanpa Respons
Next → 11 UEFI Shim Bootloader Terlupakan Berpotensi Bypass Secure Boot di Jutaan Sistem Worldwide

Artikel Terkait

Melacak Grup APT: Mengapa Pertahanan Reaktif Tidak Lagi Cukup Melawan Serangan Lanjutan

Melacak Grup APT: Mengapa Pertahanan Reaktif Tidak Lagi Cukup Melawan Serangan Lanjutan

July 17, 2026
Autonomi Militer dan Tantangan Infrastruktur Informasi Tepercaya di Era AI

Autonomi Militer dan Tantangan Infrastruktur Informasi Tepercaya di Era AI

July 17, 2026
GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

July 17, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.