Mustang Panda, Hacker China yang Disebut Bobol BIN

Jaringan internal Badan Intelijen Negara (BIN) dan 10 kementerian dan lembaga pemerintah Indonesia disebut menjadi korban aktivitas peretasan dari Honeymyte alias Mustang Panda.

Mustang Panda dilaporkan sebagai aktor dari berbagai serangan terhadap Organisasi Non-Pemerintah (NGO), pemerintah dari berbagai negara di asia termasuk Hongkong, Mongolia, Myanmar, dan Vietnam.

Berdasarkan penelitian Kasperky sejak 2019, Mustang Panda adalah grup Advanced Persistent Threat (APT) yang telah aktif selama beberapa tahun.


Advanced Persistent Threat (APT) adalah pelaku peretas rahasia suatu negara atau kelompok yang disponsori oleh negara yang bertugas meretas ke jaringan komputer target. Mereka sengaja beroperasi secara diam-diam agar tidak terdeteksi dalam jangka waktu lama.

Belakangan, istilah ini juga digunakan untuk menyebut kelompok yang tidak disponsori negara. Namun, mereka bertugas melakukan penyusupan dengan target berskala besar untuk tujuan tertentu. Motivasi pelaku APT biasanya bersifat politik atau ekonomi.

Mustang Panda sendiri mengadopsi berbagai teknik yang berbeda untuk melakukan berbagai serangan selama beberapa tahun terakhir, dan telah berfokus pada berbagai profil penargetan.

“Berdasarkan penargetan organisasi pemerintah di Asia dan Afrika, kami menilai bahwa salah satu motivasi utama HoneyMyte adalah mengumpulkan intelijen geo-politik dan ekonomi,” jelas Yeo Siang Tiong, General Manager Kasperky Asia Tenggara dalam keterangan resmi, Senin (13/9).

Mustang Panda di Indonesia

Peretasan Mustang Panda di Indonesia ini diketahui dari laporan peneliti keamanan internet The Record, yang merupakan bagian dari Insikt Group.

Dilansir dari The Record pada Jumat (10/9), Insikt Group pertama kali menemukan upaya peretasan tersebut pada April 2021.

Mulanya, Peniti Insikt sedang mendeteksi server pengendali dan control (C&C) malware PlugX yang dioperasikan Mustang Panda, dan ternyata server tersebut sedang berkomunikasi dengan beberapa host dalam jaringan pemerintah Indonesia.

Mereka kemudian menelusuri lebih dalam dan menyatakan hal itu telah berlangsung sejak Maret 2021. Namun, belum jelas metode serta target dari peretasan ini.

Peneliti dari Insikt Group menyatakan telah menginformasikan hal itu ke pihak pemerintah Indonesia pada Juni 2021 dan dilakukan lagi pada Juli 2021. Namun, pemerintah Indonesia disebut tidak merespon laporan itu.

Mustang Panda di Asia Tenggara

Mustang Panda dilaporkan melakukan serangan spionase siber terhadap entitas pemerintah di Myanmar dan Filipina setidaknya sejak Oktober 2020. Meskipun awalnya memusatkan perhatian mereka pada Myanmar, para aktor ancaman telah mengalihkan fokus mereka ke Filipina.

Sebelumnya Mustang Panda juga melakukan serangan dari pertengahan 2018, mereka menggunakan implan PlugX, serta skrip PowerShell multi-tahap yang menyerupai CobaltStrike. Kampanye ini menargetkan pemerintah di Myanmar, Vietnam, dan Bangladesh.

Metode peretasan

Dalam menyerang korbannya, Mustang Panda biasanya mendapatkan pijakan awal dalam sistem melalui email spear-phishing dengan tautan unduhan Dropbox.

Setelah korban mengklik, tautan ini mengunduh arsip RAR yang dikamuflasekan sebagai dokumen Word. Namun, dokumen Word ini berisi muatan berbahaya.

Setelah diunduh pada sistem, malware akan mencoba menginfeksi host lain dengan menyebar melalui drive USB yang dapat dilepas.

Jika drive ditemukan, malware lantas membuat direktori tersembunyi di drive, di mana kemudian memindahkan semua file korban, bersama dengan executable berbahaya.

Cara mencegah serangan Mustang Panda

  1. Memberikan staf Anda pelatihan kebersihan keamanan siber dasar, karena banyak serangan yang dimulai dengan metode phishing atau teknik rekayasa sosial lainnya
  2. Melakukan audit keamanan siber terhadap jaringan internal Anda dan memperbaiki kelemahan yang ditemukan di perimeter atau di dalam jaringan.
  3. Menginstal solusi anti-APT dan endpoint detection and response (EDR), memungkinkan penemuan dan deteksi ancaman, investigasi, dan kemampuan remediasi insiden secara tepat waktu. Berikan tim pusat operasi keamaan (SOC) Anda akses ke data ancaman terkini dan perbarui mereka dengan pelatihan profesional secara teratur.