
Lebih dari 20 website pemerintah Brasil di-hijack dan dijadikan saluran distribusi malware dalam kampanye PhantomEnigma yang diungkap oleh ANY.RUN. Investigasi mengungkap perilaku backdoor yang belum pernah didokumentasikan sebelumnya, hubungan infrastruktur tersembunyi, dan beberapa lengan serangan yang menempatkan bank dan lembaga publik dalam risiko.
APA YANG TERJADI?
Serangan dimulai dengan dokumen bertema polisi palsu yang disajikan sebagai “Oficio Policia Civil” atau “Procuracao Digital” resmi. Beberapa dokumen berisi QR code, sementara yang lain mengarahkan penerima ke link yang dirancang menyerupai sumber daya pemerintah yang sah. Dalam beberapa kasus, email dikirim melalui mailbox yang di-kompromikan dan lulus verifikasi SPF, DKIM, dan DMARC, memberikan kesan legitimasi yang lebih kuat dibandingkan email phishing biasa.
Korban kemudian di-redirect melalui host .gov.br yang dikompromikan atau domain mirip bertema polisi sebelum mencapai installer berbahaya. Sistem pemerintah digunakan sebagai infrastruktur distribusi terpercaya, bukan sebagai target akhir kampanye. Antara host yang dikompromikan termasuk timon.ma.gov[.]br, loginam.sesp.es.gov[.]br (keamanan publik negara bagian), aplicacao.cbm.mt.gov[.]br (pemadam kebakaran), dan prodoc.ap.gov[.]br.
DETAIL TEKNIS
PhantomEnigma berevolusi sepanjang dua jalur utama. Dari sisi distribusi, kampanye berpindah dari aktivitas berbasis perbankan pada 2025 ke penyalahgunaan website .gov.br yang dikompromikan dan akun email pada 2026. Dari sisi arsenal, malware berevolusi dari browser-extension banker menjadi modular Inno/Node.js backdoor yang mampu mengeksekusi JavaScript dan mengirimkan payload tambahan.
Setelah korban terlibat dengan lure, kampanye bergerak melalui rantai infeksi multi-stage: email phishing dengan dokumen resmi palsu, redirect melalui infrastruktur pemerintah terpercaya, installer berbahaya (Inno Setup atau MSI), aplikasi Electron yang di-patch dengan index.js backdoor, aktivasi backdoor yang mengumpulkan data sistem dan establish persistence, serta second-stage delivery yang bisa berupa stealer, loader, RMM software, atau malware lainnya. Backdoor mengumpulkan computer name, username, dan detail sistem korban, membuat persistent machine ID, meng-check perintah baru setiap 180 detik, dan mengeksekusi JavaScript melalui eval().
DAMPAK TERHADAP INDONESIA
Pola serangan ini sangat relevan bagi Indonesia karena menggunakan infrastruktur pemerintah sebagai vektor distribusi malware. Indonesia memiliki ratusan website pemerintah daerah dan kementerian yang mungkin tidak memiliki standar keamanan siber yang sama. BSSN perlu mengaudit keamanan website pemerintah di seluruh Indonesia, memastikan setiap domain .go.id dilindungi dari kompromi yang dapat digunakan sebagai trusted delivery channel. Kasus ini juga menunjukkan pentingnya DMARC, SPF, dan DKIM yang dikonfigurasi dengan benar untuk email pemerintah, karena email yang lulus autentikasi ini justru memperkuat legitimasi serangan phishing. Kementerian Kominfo dan BSSN harus mempertimbangkan penerapan SOCSIRT monitoring yang lebih ketat terhadap website pemerintah di seluruh Indonesia.
REKOMENDASI MITIGASI
Lembaga pemerintah harus melakukan audit keamanan website secara berkala, termasuk scanning vulnerability dan konfigurasi keamanan. Implementasikan DMARC dengan policy reject pada semua domain pemerintah untuk mencegah spoofing email. Terapkan monitoring terhadap aktivitas mencurigakan pada website pemerintah, termasuk redirect tidak sah dan file yang dimodifikasi. Karyawan pemerintah perlu dilatih untuk mengenali email phishing yang menggunakan dokumen resmi palsu. Security team harus memberikan saluran aman bagi karyawan untuk melaporkan pesan resmi yang mencurigakan, karena mendeteksi lure terpercaya di awal bisa mencegah credential theft dan operational incident yang lebih luas.
Analisa Retasan
PhantomEnigma menunjukkan evolusi yang mengkhawatirkan dalam monetisasi infrastruktur pemerintah yang dikompromikan. Dengan menggunakan website .gov.br sebagai trusted delivery channel, penyerang memanfaatkan bias kepercayaan inheren yang dimiliki domain pemerudia oleh korban. Ini mengingatkan pada kampanye SolarWinds Supply Chain Attack (2020) di mana trusted software vendor menjadi vector distribusi, namun PhantomEnigma menggunakan pendekatan yang lebih luas dengan mengeksploitasi banyak website pemerintah sekaligus. Fakta bahwa email phishing lulus SPF, DKIM, dan DMARC menunjukkan penyerang telah mengkompromikan mailbox pemerintah yang sah, bukan sekadar melakukan spoofing. Dengan modular design backdoor, operator dapat mengubah payload akhir tanpa membangun ulang seluruh rantai infeksi, menjadikan deteksi dan containment semakin sulit. Pola ini juga mengingatkan pada PhantomEnigma yang sebelumnya berfokus pada perbankan, menunjukkan fleksibilitas operasional aktor kriminal yang mampu berpindah target tanpa mengubah infrastruktur inti.
Aspek paling berbahaya dari kampanye ini adalah gap visibility yang diciptakan. Infrastruktur terpercaya mengurangi kecurigaan, modular payloads bisa diubah setelah infeksi, dan rotasi C2 domain yang cepat membuat blocklist statis menjadi usang dalam hitungan hari. Untuk tim keamanan bank dan lembaga publik, risiko melampaui satu endpoint yang terkompromikan: credential yang dicuri dan persistent backdoor access bisa mengekspos sistem internal, data sensitif, dan operasi finansial. ANY.RUN berhasil menghubungkan ratusan sandbox session yang tampak tidak terkait untuk mengungkap ruang lingkup operasi yang lebih luas, menunjukkan bahwa threat hunting berbasis behavioral analysis menjadi semakin penting mengingat batasan pendekatan signature-based.


