Para pelaku serangan siber yang menggunakan ransomware DragonForce dilaporkan telah mengembangkan teknik infiltrasi yang sangat canggih. Mereka kini mampu menyamarkan lalu lintas komunikasi command-and-control (C2) berbahaya agar tampak seperti aktivitas resmi di platform Microsoft Teams. Strategi ini dirancang untuk menipu sistem keamanan tradisional yang sering kali memberikan kepercayaan penuh kepada lalu lintas data dari aplikasi kolaborasi populer tersebut.
Inti dari serangan ini melibatkan penggunaan backdoor khusus yang dikembangkan dengan bahasa pemrograman Go. Backdoor ini memungkinkan aktor ancaman untuk mempertahankan akses persisten ke jaringan yang telah disusupi dalam jangka waktu yang lama tanpa terdeteksi. Dengan memanfaatkan infrastruktur resmi milik Microsoft, malware ini dapat melewati berbagai filter keamanan yang biasanya memantau anomali lalu lintas jaringan.
Penggunaan infrastruktur Microsoft sebagai perantara komunikasi memberikan keuntungan strategis bagi penyerang. Karena banyak organisasi mengandalkan Microsoft Teams untuk operasional sehari-hari, lalu lintas data dari aplikasi ini biasanya diizinkan secara default oleh firewall dan sistem pencegahan intrusi. Hal ini menciptakan celah keamanan yang sangat sulit dideteksi oleh tim keamanan informasi (SOC) tanpa analisis perilaku yang sangat mendalam.
Peneliti keamanan menekankan bahwa teknik ini menandai eskalasi signifikan dalam metode penyebaran ransomware. Dengan menyembunyikan komunikasi di balik aplikasi yang dianggap aman, penyerang tidak hanya berhasil menghindari deteksi awal, tetapi juga mampu melakukan eksfiltrasi data secara diam-diam. Hal ini membuat proses mitigasi menjadi jauh lebih kompleks karena aktivitas berbahaya bercampur dengan alur kerja bisnis yang sah.
Selain itu, fleksibilitas backdoor berbasis Go memungkinkan penyerang untuk melakukan pembaruan kode secara dinamis. Mereka dapat mengubah instruksi atau memodifikasi fungsionalitas malware sesuai dengan situasi di dalam jaringan target. Kemampuan adaptasi ini menjadi ancaman serius bagi perusahaan yang masih mengandalkan solusi keamanan berbasis tanda tangan (signature-based) yang bersifat statis.
Para ahli keamanan siber merekomendasikan organisasi untuk segera meninjau kebijakan keamanan mereka terkait penggunaan aplikasi kolaborasi. Pendekatan zero-trust dan pemantauan perilaku jaringan yang lebih ketat di tingkat endpoint sangat diperlukan untuk mendeteksi anomali yang mungkin timbul dari aktivitas backdoor ini. Kewaspadaan terhadap lalu lintas yang tidak biasa di dalam aplikasi komunikasi internal menjadi kunci utama dalam meminimalisir dampak dari serangan DragonForce.