Tim Tanggap Darurat Komputer Ukraina (CERT-UA) telah mengungkapkan rincian kampanye baru yang menargetkan lembaga layanan kesehatan pemerintah dan kota, terutama klinik dan rumah sakit darurat, untuk menyebarkan malware yang mampu mencuri data sensitif dari browser web berbasis Chromium dan WhatsApp.
Aktivitas tersebut, yang diamati antara bulan Maret dan April 2026, telah dikaitkan dengan kelompok ancaman yang dijuluki UAC-0247. Asal muasal kampanye tersebut saat ini tidak diketahui.
Menurut CERT-UA, titik awal rantai serangan ini adalah pesan email yang mengaku sebagai proposal bantuan kemanusiaan, yang mendesak penerima untuk mengklik tautan yang mengalihkan ke situs web sah yang disusupi melalui kerentanan skrip lintas situs (XSS) atau situs palsu yang dibuat dengan bantuan alat kecerdasan buatan (AI).
Terlepas dari apa situsnya, tujuannya adalah mengunduh dan menjalankan file Pintasan Windows (LNK), yang kemudian mengeksekusi Aplikasi HTML jarak jauh (HTA) menggunakan utilitas asli Windows, “mshta.exe.” File HTA, pada bagiannya, menampilkan bentuk umpan untuk mengalihkan perhatian korban, sekaligus mengambil biner yang bertanggung jawab untuk memasukkan kode shell ke dalam proses yang sah (misalnya, “runtimeBroker.exe”).
“Pada saat yang sama, kampanye baru-baru ini telah mencatat penggunaan pemuat dua tahap, tahap kedua yang diimplementasikan menggunakan format file eksklusif yang dapat dieksekusi (dengan dukungan penuh untuk bagian kode dan data, impor fungsi dari perpustakaan dinamis, dan relokasi), dan muatan akhir juga dikompresi dan dienkripsi,” kata CERT-UA.
Salah satu stagernya adalah alat yang disebut TCP reverse shell atau yang setara, dilacak sebagai RAVENSHELL, yang membuat koneksi TCP dengan server manajemen untuk menerima perintah untuk dieksekusi pada host menggunakan “cmd.exe.”
Yang juga diunduh ke mesin yang terinfeksi adalah keluarga malware yang dijuluki AGINGFLY dan skrip PowerShell yang disebut sebagai SILENTLOOP yang dilengkapi dengan beberapa fungsi untuk menjalankan perintah, konfigurasi pembaruan otomatis, dan mendapatkan alamat IP server manajemen saat ini dari saluran Telegram, dan kembali ke mekanisme alternatif untuk menentukan alamat perintah-dan-kontrol (C2).
Dikembangkan menggunakan C#, AGINGFLY dirancang untuk memberikan kendali jarak jauh pada sistem yang terpengaruh. Ia berkomunikasi dengan server C2 menggunakan WebSockets untuk mengambil perintah yang memungkinkannya menjalankan perintah, meluncurkan keylogger, mengunduh file, dan menjalankan muatan tambahan.
Investigasi terhadap sekitar selusin insiden telah mengungkapkan bahwa serangan ini memfasilitasi pengintaian, pergerakan lateral, dan pencurian kredensial serta data sensitif lainnya dari browser berbasis WhatsApp dan Chromium. Hal ini dicapai dengan menerapkan berbagai alat sumber terbuka, seperti yang tercantum di bawah ini –
- ChromElevator, sebuah program yang dirancang untuk melewati perlindungan enkripsi terikat aplikasi (ABE) Chromium dan mengambil cookie serta kata sandi yang disimpan
- ZAPiXDESK, alat ekstraksi forensik untuk mendekripsi database lokal untuk WhatsApp Web
- RustScan, pemindai jaringan
- Ligolo-Ng, utilitas ringan untuk membuat terowongan dari koneksi TCP/TLS terbalik
- Chisel, alat untuk melakukan tunneling lalu lintas jaringan melalui TCP/UDP
- XMRig, penambang mata uang kripto
Badan tersebut mengatakan ada bukti yang menunjukkan bahwa perwakilan Angkatan Pertahanan Ukraina mungkin juga menjadi sasaran sebagai bagian dari kampanye tersebut. Hal ini didasarkan pada distribusi arsip ZIP berbahaya melalui Signal yang dirancang untuk menjatuhkan AGINGFLY menggunakan teknik side-loading DLL.
Untuk memitigasi risiko yang terkait dengan ancaman dan meminimalkan permukaan serangan, disarankan untuk membatasi eksekusi file LNK, HTA, dan JS, serta utilitas sah seperti “mshta.exe”, “powershell.exe”, dan “wscript.exe”.
