Ghostwriter Serang Instansi Pemerintah Ukraina Lewat Phishing Berkedok Sertifikat Platform Prometheus
Kelompok ancaman siber (threat actor) Ghostwriter yang beraliansi dengan Belarus kembali melancarkan operasi ofensif yang menargetkan instansi pemerintah Ukraina. Kali ini, mereka memanfaatkan platform pembelajaran online (e-learning) Prometheus sebagai umpan phishing untuk menyebarkan malware multi-tahap (multi-stage malware) yang berujung pada eksekusi Cobalt Strike.

Kronologi Serangan
Computer Emergency Response Team of Ukraine (CERT-UA) resmi merilis peringatan keamanan pada 22 Mei 2026 setelah mendeteksi kampanye phishing aktif yang berjalan sejak musim semi 2026. Ghostwriter (dilacak juga oleh analis sebagai kelompok UAC-0057 dan UNC1151) mengirimkan email massal dari akun-akun yang telah berhasil dikompromikan (compromised accounts) ke berbagai organisasi pemerintah Ukraina.
Email tersebut melampirkan file PDF berbahaya yang menyamar sebagai dokumen pemberitahuan resmi atas penyelesaian kursus di Prometheus, platform e-learning populer yang banyak diakses oleh pegawai negeri di Ukraina. Di dalam file PDF tersebut terdapat tautan (link) manipulatif yang mengarahkan korban untuk mengunduh arsip ZIP berisi skrip JavaScript berbahaya.
π Fakta Kunci Vektor Serangan:
Ghostwriter mengeksploitasi infrastruktur email internal milik institusi pemerintah Ukraina yang telah dikompromikan sebelumnya untuk melancarkan serangan lanjutan. Taktik manipulasi ini membuat email umpan tampak sepenuhnya sah (legitimate) sehingga secara signifikan menaikkan rasio korban untuk mengeklik tautan berbahaya.
Rantai Infeksi Multi-Tahap (Multi-Stage Infection Chain)
Operasi ini mengandalkan tiga komponen JavaScript berbeda yang dieksekusi secara berurutan guna mengompromikan arsitektur sistem target secara penuh:
| Komponen Malware | Fungsi Operasional | Mekanisme Kerja Teknis |
|---|---|---|
| OYSTERFRESH | Titik Masuk (Entry Point) & Decoy | Menampilkan dokumen umpan palsu, menyembunyikan payload OYSTERBLUES ke Windows Registry, dan mengunduh komponen OYSTERSHUCK. |
| OYSTERSHUCK | Dekoder Payload (Decoder) | Mengeksekusi proses decoding berlapis menggunakan metode string reversal, substitusi sandi ROT13, dan URL decoding untuk mengaktifkan OYSTERBLUES. |
| OYSTERBLUES | Pengintaian (Reconnaissance) & C2 | Mengumpulkan data internal seperti nama komputer, username, versi OS, waktu boot terakhir, serta daftar proses aktif, lalu mentransmisikannya ke server C2 melalui metode HTTP POST. |
Setelah OYSTERBLUES aktif di dalam sistem, komponen ini akan berada dalam mode siaga menunggu instruksi dari server Command and Control (C2). Respons balik dari server C2 berisi kode JavaScript dinamis yang dieksekusi langsung di memori menggunakan fungsi `eval()`. Pada tahap akhir infiltrasi, penyerang akan menginstalasi Cobalt Strike guna mengamankan akses kendali jarak jauh secara penuh, mempermudah pergerakan lateral (lateral movement), eksfiltrasi data sensitif, hingga potensi penyebaran ransomware.
βTypically for UAC-0057, the infrastructure is hidden behind Cloudflare, and a significant portion of the domain names used belong to the .icu TLD.β
: CERT-UA, Laporan Advisori Resmi Rilis 22 Mei 2026
Ghostwriter: Evolusi Kampanye Disinformasi Menuju Malware Ofensif
Kelompok Ghostwriter pertama kali terdeteksi oleh FireEye pada Maret 2017 melalui rentetan kampanye disinformasi dan operasi pengaruh (influence operations) siber yang menargetkan aliansi pertahanan NATO. Aktor ancaman ini diidentifikasi memiliki keterkaitan erat dengan kepentingan keamanan Rusia dan Belarus. Semenjak meletusnya konflik kinetik di Ukraina pada 2022, Ghostwriter secara masif meningkatkan intensitas operasi siber ofensifnya.
Pada Februari 2026, SentinelLABS melaporkan penemuan varian baru dari PicassoLoader yang dimanfaatkan oleh Ghostwriter untuk menyerang kelompok oposisi Belarus serta personel militer Ukraina. Kampanye ofensif terbaru tersebut tercatat memanfaatkan dokumen makro Excel berbahaya sebagai vektor infeksi awal.
Lebih lanjut, tim peneliti keamanan ESET yang melacak kelompok ini dengan nama FrostyNeighbor mencatat bahwa cakupan wilayah operasi aktor siber ini terus meluas ke negara tetangga seperti Polandia dan Lituania. Sektor pertahanan nasional (defense), logistik strategis, serta industri farmasi menjadi target prioritas utama dari spionase siber ini di kawasan Eropa Timur.
β οΈ Implikasi Eskalasi Teknologi: AI Memperkuat Kapabilitas Penyerang:
Laporan dari Dewan Keamanan dan Pertahanan Nasional Ukraina menyingkap tren berbahaya di pertengahan tahun 2026: kelompok Advanced Persistent Threat (APT) yang didukung negara semakin intensif memanfaatkan teknologi LLM seperti ChatGPT dan Google Gemini untuk melakukan pengintaian (reconnaissance), mempercepat otomatisasi penulisan malware, serta menghasilkan perintah berbahaya secara dinamis pada saat eksekusi runtime. Kecerdasan buatan juga dieksploitasi untuk memperhalus tata bahasa umpan phishing serta memproduksi deepfake suara dalam bahasa Ukraina guna mengelabui personel militer di garis depan.
Rekomendasi Mitigasi Teknis
Guna memperkecil permukaan serangan (attack surface) dari ancaman persisten ini, CERT-UA merekomendasikan penegakan lima kebijakan kontrol keamanan berikut:
- Restriksi Eksekusi Skrip Host (`wscript.exe`): Terapkan konfigurasi AppLocker atau Windows Defender Application Control (WDAC) untuk memblokir total hak eksekutif proses `wscript.exe` pada akun pengguna standar. Akses Windows Script Host wajib dibatasi secara ketat hanya untuk level administrator.
- Pengetatan Arsitektur Keamanan Email: Tegakkan implementasi protokol validasi DMARC, DKIM, dan SPF secara rigid pada server domain. Integrasikan sistem gerbang email (secure email gateway) anti-phishing yang memiliki fitur analisis detonasi file PDF di dalam lingkungan sandbox terisolasi sebelum pesan diteruskan ke kotak masuk pengguna.
- Proteksi Kredensial Akses Istimewa: Wajibkan aktivasi otentikasi multi-faktor (MFA) berbasis token pada seluruh akun yang memegang hak akses administratif. Gunakan solusi manajemen kata sandi enterprise (password vault) untuk melakukan rotasi kredensial akses RDP dan VPN secara berkala.
- Pemantauan Aktivitas Windows Registry: Konfigurasikan aturan Sysmon atau Windows Event Forwarding (WEF) secara spesifik untuk mendeteksi tanda-tanda modifikasi mencurigakan pada subkey registrasi otomatis: `HKCU\Software\Microsoft\ Windows\CurrentVersion\Run`.
- Segmentasi Jaringan Komando Kritis: Isolasi jaringan infrastruktur pemerintah yang bersifat krusial dari area LAN perkantoran umum. Terapkan aturan kontrol akses (ACL) yang ketat guna membatasi lalu lintas data HTTP keluar dari stasiun kerja (workstation) hanya ke alamat tujuan yang telah diverifikasi aman.
Catatan Strategis Bagi Ketahanan Siber Indonesia
Bagi institusi pemerintah, sektor vital, dan korporasi di Indonesia, pola serangan yang dilancarkan oleh Ghostwriter ini wajib dijadikan sebagai pengingat keras. Serangan terhadap rantai pasok (supply chain attack) yang menunggangi reputasi platform pihak ketiga: termasuk portal pembelajaran online nasional: bukanlah sekadar ancaman fiktif, melainkan sebuah vektor infiltrasi yang riil di lapangan.
Kebiasaan membiarkan eksekusi aplikasi berbasis JavaScript berjalan bebas di lingkungan sistem operasi Windows tanpa adanya pembatasan fungsional terhadap proses `wscript.exe` merupakan celah kerentanan (vulnerability gap) yang hingga pertengahan 2026 ini masih sangat umum dijumpai pada infrastruktur digital Indonesia. Langkah mitigasi sederhana seperti memblokir hak eksekusi `wscript.exe` pada level akun pengguna standar, meskipun sering kali dianggap sepele, memiliki kapabilitas tinggi untuk memutus mata rantai infeksi malware multi-tahap yang kompleks sekalipun sebelum penyerang berhasil menanamkan Cobalt Strike di dalam jaringan perimeter pertahanan Anda.
Baca Juga
BACA_JUGA_LAINNYA
CRS AS Uji Coba AI untuk Ringkas RUU, Kurang dari 3% Hasilnya Layak Pakai
30 Juni 2026
Insider Trading di Polymarket, Eks-Security Engineer Google Raup Rp19 Miliar Pakai Data Internal
30 Juni 2026
Operation Poisson: Kisah Remaja Prancis yang Menyusup ke 4 Sistem dengan OpenSSH dan Tailscale
29 Juni 2026