Initializing
Siber.Web.ID
MENU_SYSTEM
Security Insights

Operation Poisson: Kisah Remaja Prancis yang Menyusup ke 4 Sistem dengan OpenSSH dan Tailscale

I
Online

siber.web.id , Seorang remaja Prancis dengan nama samaran “Poisson” (ikan) berhasil mengkompromikan empat mesin milik UKM otomotif Prancis dan empat individu Prancis dalam sebuah operasi yang berlangsung selama 33 hari. Yang membuat kasus ini unik bukanlah kecanggihan alatnya, melainkan bagaimana ia berhasil mempertahankan akses bahkan setelah server komandonya mati , berkat dua alat gratis: OpenSSH dan Tailscale.

Infografik Operation Poisson: Kisah Remaja Prancis yang Menyusup ke 4 Sistem

Siapa “Poisson”?

Poisson bukanlah aktor APT (Advanced Persistent Threat) dari organisasi negara besar. Menurut analisis Cato CTRL yang dipublikasikan oleh peneliti Vitaly Simonovich, pelaku adalah operator junior , kemungkinan remaja yang masih bersekolah. Pola aktivitasnya konsisten: serangan terjadi setelah pukul 15:00 CET dengan jeda panjang di tengah hari, persis seperti jam sepulang sekolah.

Dalam 33 hari, Poisson mengeksekusi 339 perintah berbahaya dari empat mesin yang berhasil dikompromikan. Ia menggunakan perangkat gratis dan murah: DuckDNS untuk DNS dinamis, Backblaze B2 untuk penyimpanan, dan VPS IONOS murah di Berlin. Tradecraft-nya masih kasar , ia membocorkan direktori home-nya lima kali, menamai bucket penyimpanan dengan handle-nya sendiri, dan meninggalkan file test ketikan miliknya sendiri di dalam paket keylogger.

Namun terlepas dari segala keteledorannya, ia berhasil mengkompromikan empat mesin dan mengumpulkan kredensial banking dan email dari aktivitas sehari-hari korban — tanpa perlu server exfiltrasi khusus.

Rantai Serangan: Malware Tanpa Jejak

Malware Poisson berjalan sepenuhnya di dalam memori. Tidak ada file yang menyentuh hard disk, sehingga antivirus yang mengandalkan pemindaian file tidak bisa mendeteksinya. Rantai infeksi terdiri dari tiga tahap:

  • VBScript Stager: File .vbs sederhana dengan delay untuk menghindari sandbox. Setelah jeda, ia mendekripsi dan memuat PowerShell loader.
  • PowerShell Loader: Mengunduh dan mengeksekusi .NET loader dari server remote. Semua berjalan di memory, tanpa menulis ke disk.
  • Havoc Demon Agent: C2 agent dari framework Havoc yang berjalan penuh di RAM. Memberi akses shell penuh ke mesin korban.

Untuk eskalasi privilege, Poisson menggunakan Start-Process -Verb RunAs , bukan UAC bypass. Perintah ini memunculkan jendela konfirmasi Windows dan menunggu seseorang mengeklik “Yes.” Pada satu korban, ia harus mencoba belasan kali dalam dua hari sebelum berhasil.

Persistence: Tiga Lapis Backdoor

Setelah mendapatkan akses administrator, Poisson langsung memasang tiga mekanisme persistence secara independen:

  • Scheduled Task: Berjalan setiap kali user logon dengan hak istimewa tertinggi, memastikan akses kembali secara otomatis.
  • Shellcode Injection: Shellcode disusupkan ke dalam proses Explorer.exe, menyamar sebagai proses sistem Windows yang sah.
  • RustDesk Kustom: Versi kustom dari remote desktop open-source RustDesk sebagai jalur komunikasi cadangan.

Tiga lapis ini memastikan bahwa jika satu pintu ditutup, dua lainnya tetap terbuka , strategi persistence yang terbukti efektif.

70 Baris Python, Ribuan Karakter Tercuri

Alat utama Poisson untuk mencuri kredensial adalah keylogger berbasis Python sepanjang 70 baris menggunakan library pynput. Tidak ada beacon periodik, tidak ada server exfiltrasi yang mencolok. Keylogger ini hanya merekam semua ketikan ke file lokal. Poisson kemudian login secara manual ke mesin korban dan mengambil file tersebut.

Ia juga menggunakan powercfg untuk mengubah pengaturan standby Windows agar mesin tidak pernah tidur, sehingga proses harvesting berjalan tanpa henti. Pada pengecekan pertama, keylogger ini telah mengumpulkan sekitar 3.000 karakter ketikan korban. Poisson mengambil file log secara manual melalui Havoc — tidak ada server exfiltrasi terpisah, tidak ada beacon periodik.

Yang menarik: Poisson tidak menunjukkan minat pada Mimikatz, lateral movement, atau ransomware. Ia juga tidak mengambil dokumen yang dibukanya, mulai dari catatan pajak hingga asuransi. Targetnya murni apa yang diketik orang: kredensial login.

Master Move: OpenSSH + Tailscale

Pada 7 April, dalam sesi yang berlangsung lima jam, Poisson melakukan langkah yang membedakan operasinya dari peretas biasa. Ia menginstall OpenSSH Server dan Tailscale langsung di mesin korban, lalu menghubungkannya ke jaringan Tailscale pribadinya.

Ini membangun jalur akses alternatif yang sepenuhnya independen dari server C2 utama. Tailscale menyediakan mesh VPN terenkripsi tanpa perlu membuka satu port publik pun , backdoor yang nyaris tidak terlihat oleh scanner jaringan atau firewall konvensional.

Keesokan harinya, 8 April, infrastruktur Havoc C2 mati. Cato CTRL tidak menjelaskan penyebab pastinya , bisa takedown, restart, atau error teknis. Namun karena Poisson sudah membangun jalur Tailscale, aksesnya tidak terputus.

18 Hari Tanpa C2 , Dan Apa yang Terjadi Selanjutnya

Selama 18 hari (8 April – 26 April), Poisson tetap memiliki akses penuh ke mesin korban. Tailscale dan OpenSSH terus berfungsi sebagai jalur independen, tidak terpengaruh oleh matinya C2.

Ketika C2 kembali online pada 26 April, agen Havoc langsung terhubung kembali secara otomatis , tanpa perlu kompromi ulang. Dalam lima hari terakhir, Poisson menjalankan 145 perintah tambahan. Ia menyelidiki smart-card dan certificate stores , indikasi awal ia mulai melirik login berbasis sertifikat , menjalankan dua executable misterius dari file bernama Thales.zip selama 32 menit, lalu menghapus 17 file dan menghilang pada 1 Mei.

Pertanyaan yang masih terbuka: apa isi Thales.zip, dan apa yang dilakukan dua program itu dalam 32 menit mereka di mesin korban?

Pola yang Tidak Baru

Teknik yang digunakan Poisson bukanlah hal baru:

  • APT31 (China) menggunakan Tailscale sepanjang 2024–2025 untuk tunneling keluar dari perusahaan IT Rusia.
  • Scattered Spider dikenal menggunakan alat remote-access legitim seperti Ngrok dan Fleetdeck untuk persistence dan lateral movement.
  • RustDesk , backup channel Poisson , juga muncul dalam serangan Akira Ransomware baru-baru ini.

Binernya signed dan legitimate , deteksi yang berhenti pada file berbahaya, bukan perilaku berbahaya, akan melewatkannya sepenuhnya. Fakta bahwa alat yang sama digunakan APT negara besar hingga remaja Prancis menunjukkan bahwa alat ini terlalu mudah diakses dan terlalu sulit dideteksi.

Pelajaran untuk Tim Keamanan

Cato CTRL memberikan daftar konkret untuk mendeteksi pola serangan serupa:

  • Alert OpenSSH Server di Workstation , instalasi OpenSSH Server di workstation Windows jarang sekali legitimate. Jadikan indikator kompromi.
  • Pantau tailscale.exe , jika muncul di mesin yang tidak perlu VPN, curigai sebagai potensi backdoor.
  • Deteksi Reverse Tunnel , perintah ssh -R yang mengarah ke host eksternal harus segera diinvestigasi.
  • Waspadai wscript.exe dari User Folders , file .vbs dari folder staging user patut dicurigai sebagai stager tahap awal.
  • Audit Scheduled Task dengan Privilege Tinggi , task yang berjalan sebagai SYSTEM dan menjalankan script interpreter adalah red flag.
  • Cek powercfg , perubahan pengaturan standby yang mematikan sleep mode pada workstation perlu diselidiki.
  • Block DuckDNS , domain dinamis gratis ini sering digunakan untuk C2 dan tunneling.

Pelajaran utamanya: mematikan server C2 bukanlah remediasi jika penyerang sudah membangun jalur akses independen di dalam sistem. Setiap kali C2 ditemukan, asumsikan itu bukan satu-satunya jalan masuk. Berburu persistence layer yang lebih senyap di belakangnya.

Kesimpulan

Operation Poisson adalah pengingat keras bahwa ancaman siber tidak selalu datang dari APT canggih dengan sumber daya tak terbatas. Seorang remaja dengan alat gratis, koneksi internet, dan tekad yang cukup bisa mengkompromikan sistem dan mencuri kredensial login dari korban yang tidak curiga.

Yang lebih mengkhawatirkan: ketika ia melakukan kesalahan , server C2-nya mati , ia tetap punya akses. Bukan karena ia jenius, tapi karena ia menggunakan alat yang sah, gratis, dan dirancang untuk tujuan baik: OpenSSH dan Tailscale.

Pertanyaan yang harus dijawab industri ini: jika seorang remaja yang masih belajar bisa melakukan ini, apa yang bisa dilakukan aktor yang benar-benar terampil?

Cover Operation Poisson
Cover: Operation Poisson — Remaja Prancis Bobol 4 Sistem UKM Otomotif Prancis.

Sumber: The Hacker News, Cato CTRL (Vitaly Simonovich), SC World, Detectum Cyberdefense.

Tags: #OperationPoisson #Tailscale #OpenSSH #Havoc #CyberAttack #UKMPrancis #ThreatIntelligence #CatoCTRL #Persistence #Keylogger #MalwareInMemory

Bagikan Artikel
Security Tools