Live Alert:

New ransomware campaign detected targeting financial institutions worldwide

Details →

Security Advisory

This article contains sensitive threat intelligence information. Handle with appropriate security measures.

Cybersecurity Serangan Siber Internasional

Operation Crimson Fog: Kampanye Siber Tersembunyi yang Menargetkan Industri Pertahanan Asia

Sebuah operasi siber berskala besar ditemukan menargetkan perusahaan pertahanan di Jepang, Korea Selatan, dan Taiwan, menggunakan malware tanpa file dan teknik living-off-the-land.

C

CyberSec Team

Security Analyst

10 December 2025

Published

5 menit

Reading time

Critical

Threat Level

Operation Crimson Fog: Kampanye Siber Tersembunyi yang Menargetkan Industri Pertahanan Asia

Operasi siber berskala besar yang dijuluki Operation Crimson Fog telah mengguncang industri pertahanan di kawasan Asia Pasifik.
Serangan ini menargetkan perusahaan militer dan penyedia teknologi strategis di Jepang, Korea Selatan, dan Taiwan, dengan tingkat kerahasiaan yang luar biasa.
Para peneliti keamanan siber menggambarkannya sebagai salah satu operasi spionase digital paling canggih di Asia dalam beberapa tahun terakhir.

1. Latar Belakang Operasi Crimson Fog

Operation Crimson Fog pertama kali diidentifikasi oleh analis keamanan dari Trend Micro dan Recorded Future pada awal Februari 2025.
Serangan ini diyakini telah aktif sejak pertengahan 2024, beroperasi secara diam-diam di jaringan perusahaan pertahanan besar yang terlibat dalam produksi sistem radar, drone militer, dan satelit komunikasi.

Target utama serangan ini adalah pencurian data teknis dan rahasia industri pertahanan, termasuk desain sistem senjata dan dokumen kolaborasi antarnegara.
Motifnya jelas: spionase geopolitik, bukan finansial.

Indikasi awal mengaitkan serangan ini dengan kelompok APT yang berafiliasi dengan negara, karena kompleksitas operasi dan infrastruktur global yang digunakan untuk menyamarkan sumber serangan.

2. Karakteristik Teknis dan Teknik yang Digunakan

Para peneliti menemukan bahwa Operation Crimson Fog menggunakan arsitektur serangan berlapis tiga, dengan fokus utama pada stealth (kerahasiaan) dan persistence (ketahanan akses).
Beberapa teknik yang digunakan di antaranya:

a. Malware Tanpa File (Fileless Malware)

Malware utama tidak meninggalkan jejak file di sistem korban.
Ia dieksekusi langsung melalui memori menggunakan PowerShell, WMI, dan rundll32 — teknik yang dikenal sebagai living-off-the-land binaries (LoLBins).
Pendekatan ini membuatnya hampir mustahil dideteksi oleh antivirus tradisional.

b. Command & Control (C2) Berbasis Cloud

Server kontrol menggunakan layanan cloud populer seperti Dropbox, Google Drive, dan Microsoft Azure Blob Storage, untuk menyamarkan lalu lintas data keluar sebagai aktivitas normal pengguna.

c. Persistence Melalui Registry & Task Scheduler

Penyerang membuat persistence hook yang tersembunyi di registry Windows dan scheduled task yang hanya aktif saat pengguna tertentu login.
Metode ini mengurangi kemungkinan deteksi dan memungkinkan malware bertahan berbulan-bulan tanpa terlihat.

d. Data Exfiltration Bertahap

Data tidak dikirim langsung dalam jumlah besar, melainkan diekstraksi dalam potongan kecil yang dikompres dan dienkripsi dengan AES-256, lalu disamarkan sebagai file gambar (.png).
Setiap file dikirim melalui koneksi HTTPS terenkripsi menuju domain palsu yang meniru situs militer Jepang dan Korea.

3. Rantai Infeksi dan Vektor Awal

Laporan forensik menunjukkan bahwa rantai infeksi dimulai melalui email spear-phishing yang dikirim kepada staf teknis dan insinyur senior di perusahaan pertahanan.
Email tersebut berisi undangan seminar internasional terkait “Defensive AI Systems 2025” dengan lampiran dokumen Microsoft Word berformat .docx.

Begitu dibuka, makro tersembunyi di dalam file mengaktifkan skrip PowerShell yang mengunduh payload tahap pertama dari server CDN kompromi.
Payload tersebut bertindak sebagai loader, yang kemudian menanamkan malware utama (memory-resident agent) di dalam proses svchost.exe dan explorer.exe.

4. Korban dan Dampak Operasional

Beberapa korban yang dikonfirmasi meliputi:

  • Dua kontraktor pertahanan utama di Jepang yang terlibat dalam proyek drone pengintaian.
  • Perusahaan telekomunikasi militer Korea Selatan yang menangani sistem komunikasi satelit militer.
  • Lembaga penelitian teknologi pertahanan di Taiwan yang mengembangkan radar lintas batas.

Meskipun tidak ada data publik yang menyebutkan kebocoran besar, para peneliti memperkirakan ribuan dokumen teknis telah disalin secara diam-diam selama periode enam bulan.
Sebagian data tersebut diyakini mencakup arsitektur sistem persenjataan dan algoritma komunikasi enkripsi militer.

5. Indikasi Keterlibatan Aktor Negara

Dari hasil threat intelligence correlation, para peneliti menemukan kemiripan signifikan dengan APT10 (Stone Panda) dan APT41, dua kelompok yang diduga berafiliasi dengan Tiongkok.
Beberapa kesamaan yang ditemukan:

  • Struktur C2 dan domain spoofing yang identik dengan operasi APT41 pada tahun 2023.
  • Tanda tangan malware (hash overlap) dengan varian ShadowPad Loader yang digunakan dalam serangan sebelumnya terhadap perusahaan telekomunikasi Asia.
  • Pola waktu aktivitas yang konsisten dengan zona waktu GMT+8, menunjukkan operasi dilakukan pada jam kerja Tiongkok daratan.

Namun, belum ada bukti langsung yang mengaitkan negara tertentu secara resmi.
Sebagian pihak menilai kemungkinan operasi kolaboratif antaraktor APT yang berbagi infrastruktur.

6. Strategi Deteksi dan Mitigasi

Karena sifat serangan yang tanpa file, pencegahan tradisional berbasis signature detection tidak cukup efektif.
Para ahli menyarankan pendekatan behavior-based detection dan threat hunting aktif.

Beberapa langkah mitigasi utama yang direkomendasikan:

  1. Aktifkan PowerShell Constrained Mode untuk membatasi eksekusi skrip berbahaya.
  2. Pantau aktivitas WMI dan registry secara real-time.
  3. Gunakan solusi EDR (Endpoint Detection & Response) yang mampu menganalisis perilaku proses di memori.
  4. Implementasi Zero Trust Security Framework, dengan otentikasi multi-faktor (MFA) di semua level akses jaringan.
  5. Audit log keamanan secara berkala untuk mendeteksi anomali kecil seperti koneksi outbound yang tidak biasa.

Selain itu, perusahaan di sektor pertahanan disarankan untuk memisahkan jaringan internal penelitian dari sistem administratif, guna menghindari pergerakan lateral (lateral movement) setelah kompromi awal.

7. Implikasi Geopolitik di Asia Pasifik

Serangan ini memperlihatkan meningkatnya eskalasi kompetisi teknologi militer di Asia, terutama di tengah ketegangan geopolitik antara Tiongkok, Taiwan, Jepang, dan sekutu baratnya.
Serangan siber semacam ini memberikan keuntungan strategis bagi aktor negara karena:

  • Memberikan akses terhadap rahasia teknologi pertahanan lawan.
  • Menurunkan kemampuan pertahanan negara target.
  • Mengirim pesan politik tanpa harus melakukan tindakan militer terbuka.

Kawasan Asia kini berada di garis depan perang siber global, di mana informasi dan kode berbahaya menjadi senjata baru.

8. Analisis Akhir: Pola Baru Serangan APT di Asia

Operation Crimson Fog menandai evolusi baru dari operasi APT modern.
Jika sebelumnya serangan APT mengandalkan malware konvensional dengan file dan infrastruktur server jelas, kini mereka beralih ke:

  • Fileless infection,
  • Cloud-based C2,
  • dan AI-driven automation untuk menutupi jejak digital.

Hal ini menjadikan deteksi semakin sulit dan memerlukan kolaborasi lintas negara, terutama dalam threat sharing intelligence antara Jepang, Korea Selatan, Taiwan, dan sekutu internasional lainnya.

Operation Crimson Fog menunjukkan bahwa era keamanan digital kini berada di ambang babak baru — ketika ancaman tidak lagi datang dari dunia nyata, melainkan dari barisan kode tak terlihat yang beroperasi senyap di balik jaringan pertahanan modern.

Related Tags:

#APT #defense industry #Asia Pacific #malware #espionage

SECURITY RECOMMENDATIONS

Pastikan untuk mengimplementasikan kontrol keamanan yang tepat dan tetap waspada terhadap indikator ancaman yang disebutkan dalam laporan ini.

Komentar