Sebuah kelompok peretas yang diduga berasal dari Rusia kembali menjadi sorotan setelah melancarkan serangkaian serangan baru yang menargetkan sektor energi di Kazakhstan. Aktivitas ini diberi sandi Operation BarrelFire dan dilacak oleh tim keamanan Seqrite Labs sebagai kelompok Noisy Bear, yang diketahui aktif sejak April 2025.
Menurut peneliti keamanan Subhajeet Singha, kampanye ini menyasar karyawan perusahaan energi KazMunaiGas (KMG). Para pelaku mengirimkan dokumen palsu yang seolah-olah berasal dari departemen IT KMG, berisi topik terkait pembaruan kebijakan, prosedur sertifikasi internal, hingga penyesuaian gaji.
Rantai Infeksi: Dari Email ke Reverse Shell
Serangan dimulai lewat email phishing dengan lampiran file ZIP. Di dalamnya terdapat file shortcut Windows (LNK) yang berfungsi sebagai downloader, sebuah dokumen umpan bertema KazMunaiGas, serta file README.txt berisi instruksi dalam bahasa Rusia dan Kazakh untuk menjalankan program bernama “KazMunayGaz_Viewer.”
Email tersebut dikirim dari akun email karyawan KMG di bagian keuangan yang telah diretas, lalu ditujukan ke pegawai lain sekitar Mei 2025.
Payload dalam file LNK dirancang untuk mengunduh muatan tambahan, termasuk skrip batch berbahaya yang kemudian memicu PowerShell loader bernama DOWNSHELL. Tahap akhir dari rantai infeksi adalah pemasangan implant berbasis DLL 64-bit yang mampu mengeksekusi shellcode dan membuka akses reverse shell.
Infrastruktur dan Kaitan dengan Rusia
Analisis lebih lanjut menemukan bahwa infrastruktur Noisy Bear dihosting pada layanan bulletproof hosting asal Rusia, Aeza Group, yang sudah dikenai sanksi oleh pemerintah AS sejak Juli 2025 karena memfasilitasi aktivitas berbahaya.
Dalam waktu yang hampir bersamaan, perusahaan keamanan Prancis HarfangLab juga menemukan kampanye serangan lain oleh kelompok Ghostwriter (UNC1151/FrostyNeighbor) yang berafiliasi dengan Belarus. Mereka menargetkan Ukraina dan Polandia dengan arsip ZIP dan RAR berisi spreadsheet Excel dengan makro VBA untuk mengeksekusi DLL berbahaya, mengumpulkan informasi sistem, serta menyiapkan tahap serangan berikutnya.
Beberapa variasi terbaru bahkan menggunakan file CAB bersama shortcut LNK untuk mengeksekusi DLL. Di Polandia, metode serangan dimodifikasi dengan menggunakan Slack sebagai saluran beaconing sekaligus data exfiltration. Dalam kasus lain, DLL juga dipakai untuk memuat Cobalt Strike Beacon, memfasilitasi aktivitas pasca-eksploitasi.
Gelombang Serangan Lain di Rusia
Temuan ini muncul di tengah meningkatnya serangan siber terhadap perusahaan di Rusia. Kelompok OldGremlin dilaporkan kembali melakukan kampanye pemerasan terhadap delapan perusahaan industri besar pada paruh pertama 2025, memanfaatkan email phishing serta teknik bring your own vulnerable driver (BYOVD) untuk menonaktifkan solusi keamanan.
Selain itu, kampanye phishing di Rusia juga mendistribusikan malware baru bernama Phantom Stealer, turunan dari proyek open-source Stealerium. Malware ini mampu mencuri berbagai data sensitif dan bahkan memiliki modul “PornDetector” yang secara otomatis mengambil tangkapan layar webcam ketika korban mengakses situs dewasa, fitur yang kemudian disalahgunakan untuk praktik pemerasan (sextortion).
Malware Android Menyamar sebagai Aplikasi FSB
Aktivitas berbahaya lain yang teridentifikasi adalah penyebaran malware Android yang menyamar sebagai aplikasi antivirus buatan Dinas Keamanan Federal Rusia (FSB). Aplikasi ini diberi nama SECURITY_FSB, ФСБ, dan GuardCB, mencoba terlihat resmi seperti aplikasi milik bank sentral Rusia.
Pertama kali ditemukan pada Januari 2025, aplikasi palsu ini meminta izin akses yang luas, termasuk SMS, lokasi, audio, kamera, dan layanan aksesibilitas. Dengan izin tersebut, malware dapat merekam ketikan, mencuri data dari aplikasi perpesanan maupun browser, hingga mencegah dirinya dihapus dari perangkat. Analisis dari Doctor Web menunjukkan bahwa antarmuka aplikasi hanya tersedia dalam bahasa Rusia, menegaskan bahwa target utama adalah pengguna di Rusia.