Di tengah lanskap ancaman siber yang terus berkembang pesat, kelompok penjahat siber GOLD BLADE kembali menunjukkan bagaimana pelaku serangan terus berinovasi untuk melewati pertahanan yang ada. Pada Juli 2025, GOLD BLADE memperkenalkan metode serangan baru yang sangat berbahaya dengan menggabungkan file shortcut Windows berbahaya (file LNK) dengan teknik WebDAV lama namun efektif untuk menyebarkan malware khusus mereka, RedLoader. Serangan ini dirancang untuk menjalankan kode jarak jauh secara diam-diam dan memuat DLL berbahaya (sideload) sehingga sangat sulit dideteksi dan diatasi.
Memahami ancaman yang terus berkembang ini sangat penting bagi setiap organisasi yang serius menjaga keamanan siber. Kegagalan merespons secara cepat dan tepat bisa mengekspos infrastruktur dan data penting pada risiko kompromi, gangguan, dan biaya perbaikan yang tinggi.
Cara Kerja Serangan GOLD BLADE: Tahapan Lengkap
- Serangan dimulai dari titik masuk yang tampak biasa saja: file PDF yang dikemas rapi sebagai surat pengantar yang dikirim lewat situs rekrutmen pihak ketiga seperti indeed.com. Teknik ini menggunakan rekayasa sosial untuk memancing korban membuka konten berbahaya.
- Dalam PDF tersebut terdapat tautan yang mengarahkan korban untuk mengunduh arsip ZIP ke sistem mereka.
- Di dalam arsip ZIP terdapat ancaman sebenarnya — sebuah file LNK yang menyamar sebagai dokumen PDF.
- Saat file shortcut ini dijalankan, ia mengeksekusi proses Windows asli bernama conhost.exe. Di sinilah kecanggihan serangan ini terlihat: conhost.exe menggunakan protokol WebDAV untuk menghubungi domain CloudFlare yang dikendalikan penyerang dan mengunduh file executable Adobe bertanda tangan bernama ADNotificationManager.exe yang telah diganti namanya untuk menyembunyikan tujuan sebenarnya.
- File executable yang tampak sah ini kemudian secara jarak jauh memuat DLL berbahaya bernama netutils.dll — tahap awal malware RedLoader.
- Teknik sideloading DLL yang tersembunyi ini mengeksploitasi proses terpercaya untuk menjalankan kode berbahaya, memungkinkan malware menyusup tanpa terdeteksi oleh banyak solusi keamanan tradisional.
- Setelah tahap 1 berhasil, malware membuat tugas terjadwal dengan nama unik berdasarkan nama komputer korban yang sudah dienkripsi.
- Tugas ini mengunduh dan menjalankan executable tahap kedua RedLoader yang berkomunikasi dengan server perintah dan kontrol (C2) penyerang.
- Tahap kedua ini memperkuat keberadaan penyerang di sistem dan dapat digunakan untuk berbagai aktivitas berbahaya seperti pencurian data, penyebaran ransomware, atau spionase.
Mengapa Serangan Ini Lebih Berbahaya Dari Varian Sebelumnya
Serangan Juli 2025 dari GOLD BLADE bukan sekadar pengulangan taktik lama, melainkan menggabungkan dua metode berbeda yang sebelumnya terpisah:
- Pemanfaatan WebDAV untuk eksekusi DLL jarak jauh (teramati September 2024).
- Teknik sideloading DLL lewat executable Adobe yang diganti nama (teramati Maret 2025).
Gabungan kedua pendekatan ini menciptakan rantai infeksi baru yang lebih efektif dan sulit dideteksi. Selain itu, tahap kedua kini menggunakan executable mandiri, membuatnya lebih sulit dikaitkan dengan serangan sebelumnya dan meningkatkan kemampuan sembunyi.
Indikator Kompromi (IoC) yang Harus Dipantau
Pantau dengan ketat indikator berikut untuk melindungi lingkungan Anda:
- Domain berbahaya:
• automatinghrservices.workers.dev
• quiet.msftlivecloudsrv.workers.dev
• live.airemoteplant.workers.dev - Nama file berbahaya:
• netutils.dll (DLL tahap 1 RedLoader) - Hash malware yang dikenal:
• Tahap 1 SHA256: d302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc
• Tahap 2 SHA256: f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926
• Tahap 2 SHA1: 369acb06aac9492df4d174dbd31ebfb1e6e0c5f3
Pemantauan berkelanjutan terhadap IoC ini membantu deteksi dini dan mencegah kerusakan lebih luas.
Langkah Mitigasi Segera yang Harus Dilakukan
Karena tingkat kecanggihan serangan ini, strategi pertahanan berlapis sangat penting:
- Blokir Eksekusi File LNK dari Lokasi Risiko
Gunakan Software Restriction Policies (SRP) atau Group Policy Objects (GPO) untuk mencegah eksekusi file .lnk dari direktori yang sering disalahgunakan seperti:
- C:\Users*\Downloads*.lnk
- %AppDataLocal%*.lnk
- %AppDataRoaming%*.lnk
- Terapkan Alat Endpoint Detection and Response (EDR) Canggih
Gunakan produk keamanan yang dapat mendeteksi perilaku mencurigakan, termasuk proteksi spesifik Sophos berikut:
- Evade_28k untuk memblokir sideloading berbahaya yang melibatkan adnotificationmanager.exe.
- WIN-DET-EVADE-HEADLESS-CONHOST-EXECUTION-1 untuk mendeteksi proses anak abnormal dari conhost.exe.
- Troj/Agent-BLKU untuk deteksi statis tahap kedua RedLoader.
- Batasi dan Pantau Akses Jaringan ke Domain Berbahaya
Gunakan firewall dan filter DNS untuk memblokir domain penyerang yang diketahui, dan awasi lalu lintas keluar yang tidak biasa.
Mengapa Anda Tidak Bisa Mengabaikan Ancaman Ini
Rantai serangan RedLoader dari GOLD BLADE membuktikan bahwa pelaku kejahatan siber terus beradaptasi, menggabungkan taktik lama menjadi kampanye yang lebih efektif dan tersembunyi. Ancaman ini bukan hanya membahayakan data, tetapi juga dapat mengganggu layanan penting, merusak reputasi, dan menimbulkan biaya perbaikan yang sangat besar.
Organisasi yang mengabaikan ancaman ini berisiko mengalami downtime parah dan kehilangan data permanen. Sebaliknya, mereka yang bertindak cepat memahami serangan ini, menerapkan mitigasi yang dianjurkan, dan menjaga pemantauan ketat akan mampu tetap selangkah lebih maju dari para penyerang.
Kesimpulan
Kunci pertahanan terhadap serangan RedLoader canggih GOLD BLADE adalah kesadaran, persiapan, dan tindakan cepat. Jangan tunggu sampai organisasi Anda menjadi korban. Segera tinjau postur keamanan Anda, perbarui kebijakan, dan pastikan tim Anda siap mendeteksi serta merespons ancaman tingkat lanjut ini.
Jika Anda membutuhkan bantuan membuat rencana respons insiden yang terperinci atau briefing teknis terkait ancaman ini, saya siap membantu Anda membangun strategi pertahanan yang kokoh. Lindungi jaringan Anda sekarang juga — karena waktu adalah kunci.
🔒 Mau tahu bagaimana Sophos dapat membantu Anda melindungi jaringan dengan teknologi terkini?
💬 Segera hubungi Sophos Indonesia atau
🤝 Konsultasikan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.
Kami siap mendukung Anda dengan solusi keamanan terbaik agar sistem Anda selalu aman dan tangguh menghadapi segala ancaman.
