Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Cyberwarfare

GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

// by retasan-news July 17, 2026 5 min read
GoSerpent Backdoor Southeast Asia Campaign - Kaspersky GReAT

Kaspersky GReAT menemukan kampanye berkelanjutan yang melibatkan backdoor canggih bernama GoSerpent yang menargetkan entitas pemerintah dan diplomatik di Asia Tenggara sejak akhir 2025. Kampanye ini menggunakan RAT berbasis Go dengan kemampuan proxy SOCKS5, tool pengumpulan data ThumbcacheService, credential dumping tools termasuk Mimikatz, dan data exfiltration tool berlapis bernama TmcLoader/TmcPayload. Yang membuat ancaman ini sangat signifikan adalah perencanaan operasional yang cermat antara berbagai komponen toolset, di mana data yang dikumpulkan oleh satu komponen secara terintegrasi dapat diexfiltrate oleh komponen lain.

APA YANG TERJADI?

Kampanye GoSerpent dimulai sejak setidaknya 2021 dengan varian yang lebih sederhana yang menerima command-line arguments dalam plain text. Pada akhir 2025, kelompok ini kembali dengan toolset yang lebih canggih. Fase serangan awal melibatkan deployment backdoor GoSerpent yang menerima argument terenkripsi dan base64-encoded berisi alamat server C2 dan password komunikasi, yang didekripsi menggunakan AES-CBC mode dengan IV tetap. Backdoor ini menggunakan enkripsi ChaCha20 untuk komunikasi, dengan SHA256 hash dari password komunikasi sebagai encryption key. GoSerpent mendukung berbagai perintah C2 termasuk sinkronisasi, shell access, file upload/download, SOCKS5 proxy, port forwarding, dan node forwarding. Backdoor ini juga mampu men-deploy tool tambahan termasuk ThumbcacheService untuk pengumpulan file, Mimikatz untuk credential dumping, dan QuarksDumpLocalHash untuk ekstraksi password hash lokal.

DETAIL TEKNIS

ThumbcacheService adalah malicious DLL yang di-deploy sebagai Windows service. Tool ini menggunakan XOR encryption dengan single-byte key 0x13 untuk string obfuscation, dan menciptakan database file bernama `thumbcache_605a.db` di direktori `C:\Users\Public\` untuk menyimpan file sensitif yang dikumpulkan. Tool ini secara spesifik menargetkan dokumen dengan ekstensi .doc, .docx, .pdf, .xls, dan .xlsx. File-file yang ditargetkan diarsipkan menggunakan 7-Zip dengan password yang sudah ditentukan (`@vx0a9n5W2M0c3D6.#`) dan dibatasi ukuran arsipnya hingga 20MB. Malicious service ini juga memantau direktori `$Recycle.Bin` untuk file yang dihapus dengan ekstensi yang diminati, memastikan pengumpulan data yang komprehensif.

Fase kedua serangan dimulai pada Mei 2026 dengan toolset baru. Stowaway, RAT berbasis open-source yang dikustomisasi, digunakan untuk mendeploy TmcLoader/TmcPayload. TmcLoader adalah loader C++ yang terdaftar sebagai Windows service dan meng-embed payload terenkripsi di bagian .data yang didekripsi dan dimuat ke ruang memori svchost untuk persistensi. TmcPayload menggunakan dynamic API resolution melalui circular XOR encryption dan Base64 encoding untuk string obfuscation. Payload ini membaca file konfigurasi terenkripsi yang berisi credential network share dan destination path untuk data exfiltration, secara spesifik merujuk ke file `thumbcache_605a.db` yang dibuat oleh ThumbcacheService, membuktikan sifat terintegrasi dari entire attack chain.

Infrastruktur C2 menggunakan legitimate hosting providers termasuk Alibaba Cloud dan UCLOUD HK. Penggunaan platform hosting legitimate menunjukkan kesadaran operational security yang tinggi. Kesamaan teknis antara GoSerpent dan Stowaway menunjukkan kedalaman pemahaman aktor ancaman terhadap teknologi network proxy. Penggunaan domain name legit sebagai secret keys — GoSerpent menggunakan www.microsoft.com dan www.spacex.com, sementara Stowaway menggunakan github.code — menunjukkan metodologi operasional yang terstandarisasi.

DAMPAK TERHADAP INDONESIA

Kampanye GoSerpent secara aktif menargetkan entitas pemerintah dan diplomatik di Asia Tenggara, yang menjadikan Indonesia sebagai salah satu negara dengan risiko paparan tertinggi. Indonesia memiliki hubungan diplomatik aktif dengan berbagai negara di kawasan Asia Tenggara dan merupakan anggota penting ASEAN, sehingga kementerian luar negeri, kementerian terkait, dan lembaga pemerintah lainnya berpotensi menjadi target serupa. Teknik pengumpulan data yang sangat terstruktur — dari pengumpulan dokumen sensitif hingga credential dumping dan exfiltrasi terencana berlapis — menunjukkan bahwa aktor ancaman ini memiliki target spesifik dan kesabaran operasional yang tinggi. BSSN dan Badan Intelejen Negara harus memperkuat pertahanan terhadap serangan APT yang menargetkan data diplomatik dan pemerintah, termasuk menerapkan EDR di seluruh workstation pemerintah, membangun SOC yang mampu mendeteksi anomali traffic proxy SOCKS5, dan memastikan bahwa credential dumping tools seperti Mimikatz dapat dideteksi oleh solusi keamanan yang di-deploy. UU PDP menuntut perlindungan data sensitif negara dari serangan spionase siber.

REKOMENDASI MITIGASI

Implementasikan EDR di seluruh endpoint pemerintah dan organisasi sensitif untuk mendeteksi aktivitas credential dumping, process injection, dan anomali service registration. Pantau traffic outbound ke IP addresses C2 yang sudah diidentifikasi: 152.32.160[.]239, 8.220.194[.]108, 8.220.214[.]132, dan lainnya. Deteksi penggunaan Mimikatz dan QuarksDumpLocalHash melalui monitoring LSASS process access dan registry SAM access. Pantau aktivitas file archiving menggunakan 7-Zip dengan password tertentu di direktori `C:\Users\Public\`. Terapkan network monitoring untuk mendeteksi anomali traffic SOCKS5 proxy dan SSH tunneling yang mungkin mengindikasikan keberadaan Stowaway atau GoSerpent. Audit credential dan lakukan reset password pada sistem yang terinfeksi. Implementasikan least privilege access control untuk membatasi dampak kompromisasi credential.

Analisa Retasan

Kampanye GoSerpent menunjukkan tingkat orkestrasi toolset yang sangat tinggi dalam operasi spionase siber. Yang membedakan kampanye ini dari banyak serangan APT lainnya adalah kesadaran bahwa pengumpulan data, credential theft, dan exfiltration harus dilakukan sebagai satu rantai operasional yang terintegrasi, bukan sebagai komponen yang berdiri sendiri. ThumbcacheService mengumpulkan dokumen dan mengarsipkannya ke database, credential dumping tools mengambil akses ke jaringan, Stowaway mengantarkan konfigurasi exfiltration, dan TmcLoader/TmcPayload mengeksekusi transfer data menggunakan credential dan path yang sudah dikonfigurasi.

Evolusi GoSerpent dari versi sederhana plain-text tahun 2021 ke varian terenkripsi ChaCha20 yang canggih di tahun 2026 menunjukkan bahwa aktor ancaman ini terus belajar dan mengembangkan kemampuan teknis mereka. Fakta bahwa mereka menjalankan versi lama dan baru secara bersamaan menunjukkan redundansi operasional yang matang — jika versi baru terdeteksi, versi lama masih dapat digunakan. Infrastruktur C2 yang menggunakan legitimate cloud providers seperti Alibaba Cloud dan UCLOUD menambah kompleksitas deteksi karena traffic ke layanan cloud semacam ini sangat umum dan sulit dibedakan dari traffic legitim.

Bagi Indonesia, kampanye ini menjadi pengingat bahwa Asia Tenggara merupakan salah satu kawasan paling aktif dalam hal spionase siber. Kaspersky menyebutkan kemungkinan koneksi dengan TetrisPhantom, sebuah aktor ancaman yang sudah dikenal menargetkan entitas pemerintah di kawasan ini. BSSN, Kementerian Luar Negeri, dan instansi pemerintah lainnya harus memastikan bahwa pertahanan siber mereka mencakup deteksi terhadap TTP spesifik GoSerpent, termasuk anomali traffic SOCKS5, akses LSASS yang mencurigakan, dan aktivitas archiving file menggunakan 7-Zip di direktori publik. SOC nasional perlu membangun rule IDS/IPS yang spesifik terhadap IOC kampanye ini untuk memastikan deteksi dini jika terjadi upaya intrusi ke infrastruktur pemerintah Indonesia.

Sumber: Securelist – GoSerpent: a persistent threat evolves with sophisticated data collection and exfiltration

Tags: APT Asia Tenggara Backdoor Data Exfiltration GoSerpent Kaspersky
Share:

retasan-news

← Previous Next.js Umumkan Pembaruan Keamanan Juli untuk Perbaiki 4 Kerentanan High-Severity dan 5 Medium
Next → CISA Minta Agen Federal Segera Perbaiki Kerentanan Kritis Fortinet FortiSandbox yang Sedang Dieksploitasi

Artikel Terkait

Melacak Grup APT: Mengapa Pertahanan Reaktif Tidak Lagi Cukup Melawan Serangan Lanjutan

Melacak Grup APT: Mengapa Pertahanan Reaktif Tidak Lagi Cukup Melawan Serangan Lanjutan

July 17, 2026
Autonomi Militer dan Tantangan Infrastruktur Informasi Tepercaya di Era AI

Autonomi Militer dan Tantangan Infrastruktur Informasi Tepercaya di Era AI

July 17, 2026
Kampanye HelloNet: APT Baru Manfaatkan Sistem Update ViPNet untuk Serang Organisasi Kritis Rusia

Kampanye HelloNet: APT Baru Manfaatkan Sistem Update ViPNet untuk Serang Organisasi Kritis Rusia

July 16, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.