Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Malware

GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

// by retasan-news July 18, 2026 5 min read
Ilustrasi serangan siber GoldenEyeDog terhadap DigiCert

Peneliti keamanan siber mengungkapkan bahwa insiden keamanan DigiCert pada April 2026 telah dikaitkan dengan kluster aktivitas ancaman yang disebut CylindricalCanine, sub-grup dari GoldenEyeDog (juga dikenal sebagai APT-Q-27, Dragon Breath, dan Miuuti Group). Grup kejahatan siber Tiongkok ini terkenal karena menargetkan sektor perjudian dan gaming melalui website palsu yang menyebarkan malware.

APA YANG TERJADI?

Dalam insiden ini, GoldenEyeDog menggunakan malware untuk mengakses perangkat anggota tim support di DigiCert, sebuah penyedia sertifikat code-signing. Dengan akses tersebut, pelaku mencuri sertifikat yang seharusnya diteruskan kepada pelanggan DigiCert. Sertifikat yang dicuri kemudian digunakan untuk menandai malware buatan mereka sendiri, sehingga malware tersebut terlihat sah dan lolos dari deteksi sistem keamanan.

Modus operandi dimulai dengan pelaku menghubungi tim support DigiCert melalui kanal chat pelanggan. Pelaku mengirimkan file ZIP yang menyamar sebagai screenshot pelanggan. File tersebut berisi executable .scr dengan payload berbahaya. Pelaku kemudian memanfaatkan fungsi terbatas dalam portal support DigiCert yang memungkinkan analis support yang terotentikasi mengakses akun pelanggan dari perspektif pelanggan.

Dengan memanfaatkan fungsi ini, pelaku mampu mengakses kode inisialisasi untuk order yang telah disetujui tetapi belum dikirim, khususnya untuk sertifikat EV Code Signing. Kombinasi kode inisialisasi dengan order yang telah disetujuk secara fungsional cukup untuk memperoleh sertifikat EV Code Signing. DigiCert kemudian mencabut 60 sertifikat yang dikeluarkan oleh beberapa CA, termasuk 27 sertifikat yang secara eksplisit dikaitkan dengan pelaku.

DETAIL TEKNIS

Malware inti yang digunakan adalah versi modifikasi dari Gh0st RAT (aka Farfli), sebuah Remote Access Trojan (RAT) yang banyak digunakan oleh kelompok peretas Tiongkok, termasuk kelompok kejahatan siber lain yang dilacak sebagai Silver Fox. Variasi malware ini disebut Golden Gh0st RAT, yang dikirimkan melalui Golden Gh0st Loader.

Golden Gh0st RAT memiliki kemampuan yang luas untuk membangun persistensi, mencuri data sensitif, memulai tunnel SOCKS proxy, menonaktifkan output tampilan, mencatat keystroke, mengambil screenshot, mengeksekusi perintah shell, menjatuhkan payload tambahan, dan menghapus Windows Event Log. Beberapa aplikasi spesifik yang menjadi target pengumpulan data termasuk Skype, Google Chrome, Mozilla Firefox, 360 Secure Browser, dan Tencent QQ Browser.

Rantai eksploitasi melibatkan teknik DLL side-loading, memanfaatkan executable yang sah untuk menjalankan DLL sambil secara bersamaan menampilkan dokumen pengecoh yang menampilkan error HTTP 503. DLL kemudian memuat payload terenkripsi bernama “update.log” yang merupakan Golden Gh0st RAT itu sendiri.

DAMPAK TERHADAP INDONESIA

Insiden ini memiliki dampak signifikan terhadap lanskap keamanan siber Indonesia. Banyak organisasi di Indonesia menggunakan sertifikat code-signing dari DigiCert untuk menandai aplikasi dan driver mereka. Sertifikat yang dicuri dan digunakan untuk menandai malware berarti malware tersebut akan terlihat sah di mata sistem operasi Windows, termasuk sistem di instansi pemerintah dan BUMN yang menggunakan DigiCert.

Di bawah UU Pelindungan Data Pribadi (PDP Law) yang mulai diberlakukan, organisasi Indonesia memiliki kewajiban untuk melindungi data pengguna dari akses tidak sah. Serangan supply chain melalui sertifikat code-signing seperti ini menunjukkan bahwa keamanan tidak hanya bergantung pada pertahanan internal, tetapi juga pada keamanan vendor pihak ketiga. BSSN dan BNSS perlu mengeluarkan peringatan terkait penggunaan sertifikat code-signing dari DigiCert bagi organisasi kritis nasional.

Selain itu, tren kelompok APT Tiongkok yang menargetkan sektor perjudian dan gaming di Asia Tenggara, termasuk Indonesia, perlu mendapat perhatian serius. Organisasi yang bergerak di sektor keuangan dan teknologi di Indonesia harus meningkatkan kewaspadaan terhadap phishing yang menyamar sebagai komunikasi support dari vendor keamanan.

REKOMENDASI MITIGASI

Organisasi yang menggunakan sertifikat code-signing dari DigiCert harus segera memverifikasi apakah sertifikat mereka termasuk dalam daftar pencabutan 60 sertifikat. Periksa Daftar Pembatalan Sertifikat (CRL) dan pastikan tidak ada sertifikat yang telah dicabut yang masih digunakan. Selain itu, implementasikan monitoring terhadap penggunaan sertifikat code-signing organisasi Anda di seluruh layanan.

Pastikan semua email dari vendor keamanan diverifikasi melalui jalur yang terpisah. Jangan pernah mengklik tautan atau membuka lampiran dari email yang mengaku berasal dari tim support tanpa verifikasi independen. Implementasikan DMARC, DKIM, dan SPF untuk memperkuat verifikasi email. Latih tim support untuk mengenali teknik social engineering yang canggih.

Untuk pertahanan terhadap Golden Gh0st RAT, perbarui definisi antivirus dan EDR dengan IOC terbaru yang dipublikasikan oleh Expel. Monitor aktivitas DNS dan C2 communication ke domain dan IP yang diketahui dikaitkan dengan grup ini. Implementasikan Zero Trust Architecture untuk mengurangi dampak kompromi credential.

Analisa Retasan

Insiden DigiCert ini mengingatkan pada serangan SolarWinds pada tahun 2020 di mana supply chain dipermanfaatkan untuk menyebarkan malware ke ribuan organisasi. Namun, mekanisme eksploitasinya berbeda — SolarWinds menargetkan pipeline build, sementara GoldenEyeDog menargetkan human element dalam proses distribusi sertifikat. Ini menunjukkan bahwa bahkan proses yang dianggap aman karena melibatkan interaksi manusia dapat menjadi titik masuk bagi pelaku yang canggih. Faktanya, DigiCert sendiri menyatakan bahwa model ancaman mereka tidak mempertimbangkan skenario di mana kode inisialisasi yang disimpan di portal support internal dapat dilihat oleh akun analis support yang dikompromikan — sebuah gap keamanan yang seharusnya sudah diantisipasi.

Penggunaan Gh0st RAT yang dimodifikasi juga patut dicermati. Gh0st RAT pertama kali didokumentasikan pada tahun 2008 dan telah menjadi alat favorit kelompok APT Tiongkok selama lebih dari satu dekade. Evolusinya menjadi Golden Gh0st RAT dengan plugin modular menunjukkan bahwa threat actor ini berinvestasi dalam pengembangan kemampuan berkelanjutan. Kemampuan SOCKS proxy tunnel dan keylogging yang terintegrasi memungkinkan pelaku tidak hanya mencuri data, tetapi juga menggunakan kompromi sebagai pivot point untuk serangan lateral ke jaringan yang lebih luas. Hal ini sejalan dengan tren serangan yang dijelaskan oleh Recorded Future di mana APT groups memanfaatkan LotL (Living-off-the-Land) tactics untuk tetap tersembunyi.

Dari perspektif Indonesia, insiden ini menjadi pengingat bahwa keamanan siber tidak dapat dipisahkan dari aspek supply chain dan trusted third party. Dengan semakin banyaknya organisasi Indonesia yang mengadopsi layanan cloud dan SaaS dari vendor internasional, risiko kompromi pada vendor seperti DigiCert menjadi semakin relevan. Permenkominfo dan BSSN harus mempertimbangkan untuk menerbitkan pedoman khusus mengenai pemilihan dan monitoring vendor sertifikat digital bagi organisasi infrastruktur kritis nasional, termasuk persyaratan audit berkala terhadap keamanan proses distribusi sertifikat. Tanpa kerangka regulasi yang memadai, organisasi Indonesia akan terus rentan terhadap serangan supply chain tingkat lanjut seperti ini.

🔗 Sumber: The Hacker News — GoldenEyeDog Subgroup Linked to DigiCert Breach

Tags: APT Certificate Theft China Code Signing DigiCert Gh0st RAT GoldenEyeDog Malware Phishing Threat Intelligence
Share:

retasan-news

← Previous NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens
Next → "AI Slop" dan Krisis Tanggung Jawab dalam Keamanan Siber

Artikel Terkait

Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

July 18, 2026
Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

July 18, 2026
NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.