Geng hacker Mysterious Elephant kembali beraksi di kawasan Asia Pasifik. Tim Riset dan Analisis Global Kaspersky (GReAT) melaporkan bahwa geng hacker advanced persistent threat (APT) ini tengah menjalankan aksi serangan siber baru yang menargetkan instansi pemerintahan dan organisasi urusan luar negeri di berbagai negara, termasuk Pakistan, Bangladesh, Afghanistan, Nepal, dan Sri Lanka.
Tujuan mereka bukan sekadar mengintip jaringan internal, melainkan mencuri informasi sangat sensitif, dari dokumen dan foto hingga data percakapan WhatsApp.
Serangan ini menandai perubahan besar dalam taktik dan alat serangan Mysterious Elephant. Jika sebelumnya mereka mengandalkan malware konvensional, kini kelompok tersebut menggunakan kombinasi alat buatan sendiri dan open source.
Metodenya pun semakin sulit terdeteksi: serangan dimulai lewat email spear-phishing yang disesuaikan dengan tiap korban, disusul dokumen berbahaya dan kit eksploitasi yang disiapkan khusus untuk menembus jaringan target.
Begitu berhasil masuk, peretas segera meningkatkan hak akses, berpindah antar sistem, dan mengeksfiltrasi data penting ke server mereka.
“Ini bukan serangan massal, tapi operasi terarah yang disesuaikan dengan profil korban. Fokusnya jelas: informasi strategis,” kata Noushin Shabab, peneliti keamanan senior di Kaspersky GReAT, dalam keterangan yang diterima infoINET, Jumat (31/10/2025).
Senjata utama dari operasi kelompok ini adalah skrip PowerShell, yang digunakan untuk mengeksekusi perintah berbahaya, menginstal malware tambahan, dan mempertahankan akses jangka panjang tanpa terdeteksi.
Mereka juga menggunakan BabShell, sebuah reverse shell yang memberi akses langsung ke komputer korban. Begitu aktif, BabShell akan mengumpulkan informasi sistem seperti nama pengguna, alamat MAC, dan detail perangkat – sebelum meluncurkan modul berbahaya bernama MemLoader HidenDesk. Modul ini mengeksekusi muatan berbahaya langsung di memori, sambil menyembunyikan jejak lewat enkripsi dan kompresi agar lolos dari sistem deteksi.
Hal yang membedakan kampanye kali ini adalah fokus pada pencurian data WhatsApp. Mysterious Elephant diketahui mengembangkan modul khusus untuk mengekstrak file yang dibagikan lewat aplikasi, mulai dari dokumen hingga arsip dan foto rahasia.
Langkah ini menunjukkan bahwa kelompok tersebut memahami pola komunikasi diplomatik modern – di mana aplikasi pesan menjadi salah satu kanal informal pertukaran data penting.
Kaspersky menemukan bahwa jaringan operasi kelompok ini dibangun dengan tingkat kerahasiaan tinggi, menggunakan DNS wildcard, domain unik per korban, VPS, dan layanan cloud untuk menyamarkan aktivitas mereka. Dengan cara ini, pelacakan menjadi jauh lebih sulit dan skala operasi bisa diperluas dengan cepat.
“Memahami pola serangan dan berbagi intelijen antar lembaga menjadi langkah krusial. Karena sekali mereka berhasil masuk, data sensitif bisa berpindah tangan hanya dalam hitungan jam,” tegas Shabab.
Fenomena seperti Mysterious Elephant menunjukkan betapa cepatnya taktik kelompok APT berevolusi. Penggunaan skrip sah seperti PowerShell membuat aktivitas mereka tampak seperti bagian dari operasi normal sistem, sementara modul memori seperti HidenDesk nyaris mustahil dideteksi antivirus tradisional.
Kaspersky merekomendasikan agar organisasi di kawasan Asia Pasifik memperkuat sistem deteksi dini, pembaruan rutin, serta edukasi keamanan karyawan, terutama terkait phishing yang kini makin sulit dibedakan dari komunikasi resmi.
