Breaking Cyber Threat Alert

Terungkap! Operasi Rahasia APT24: Malware BADAUDIO Intai Asia Tenggara

Serangan Multi-Vektor Canggih Lewat Watering Hole & Supply Chain Targetkan 1.000+ Domain di Asia-Pasifik

23 November 2025
10 menit baca
Threat Intelligence
Governmental cyber defense team using advanced technology to secure information, cyber operations in high tech monitoring center. Working on data protection and threat detection. Camera B.
1.000+
Domain Terinfeksi
3 Tahun
Operasi Rahasia
20+
Situs Strategis Disusupi

Di akhir 2025, Google Threat Intelligence Group (GTIG) mengungkap kampanye spionase tingkat lanjut dari APT24—aktor ancaman nexus Tiongkok—yang telah menjalankan operasi selama hampir tiga tahun. Kampanye ini memanfaatkan malware baru bernama BADAUDIO, memadukan teknik watering hole, kompromi rantai pasokan, dan spear phishing yang sangat tertarget.

Keberhasilannya membuat APT24 menjadi salah satu ancaman paling serius bagi organisasi di Asia-Pasifik, termasuk Indonesia.

Apa Itu APT24?

APT24 (juga dikenal sebagai Pitty Tiger) merupakan kelompok spionase siber yang sudah aktif sejak lebih dari satu dekade. Mereka memiliki rekam jejak menargetkan:

Pemerintahan
Telekomunikasi
Pertahanan
NGO & Civil Society
Perusahaan Teknologi Tinggi di Asia Pasifik

Berbeda dari kampanye sebelumnya, operasi terbaru APT24 menunjukkan lompatan besar dari sekadar penggunaan alat umum menjadi arsenal malware custom untuk meningkatkan stealth dan persistensi.

BADAUDIO: Malware Tahap-Pertama yang Sangat Terselubung

Downloader canggih dengan enkripsi AES dan teknik obfuscation tingkat lanjut

1 Ditulis dalam C++ & Heavy Obfuscation

BADAUDIO berfungsi sebagai downloader tahap pertama dengan fitur canggih yang dirancang untuk menghindari deteksi:

Enkripsi AES

Komunikasi C2 terenkripsi penuh

Exfiltrasi Cookie

Data via HTTP GET cookie header

Payload Loading

Cobalt Strike Beacon & lainnya

Control-Flow Flattening

Mempersulit reverse engineering

Metode Distribusi

Malware ini sering ditemukan sebagai DLL berbahaya melalui:

  • DLL sideloading - Memanfaatkan aplikasi legitimate untuk memuat DLL jahat
  • Arsip terenkripsi berisi kombinasi DLL + VBS + BAT + LNK untuk otomatisasi persistensi

Tiga Vektor Serangan APT24 yang Paling Berbahaya

Multi-vektor serangan yang dipadukan untuk penetrasi maksimal dan persistensi jangka panjang

1

Strategic Web Compromise (Watering Hole)

Target pengguna bernilai tinggi melalui situs terpercaya

Sejak 2022, APT24 telah menginfeksi lebih dari 20 situs sah, menyuntikkan skrip JavaScript untuk melakukan:

Fingerprinting

Menggunakan FingerprintJS untuk identifikasi

Seleksi Target

Berbasis OS dan browser tertentu

Windows Only

Membatasi infeksi pengguna Windows

Pop-up Palsu

Memicu unduhan BADAUDIO otomatis

Teknik ini memungkinkan APT24 menargetkan pengguna bernilai tinggi tanpa menghasilkan terlalu banyak "kebisingan".

2

Supply-Chain Compromise (Taiwan, >1.000 domain)

Serangan paling berbahaya dan berskala masif

Ini adalah bagian paling berbahaya dari kampanye APT24

GTIG mengungkap bahwa sebuah firma pemasaran digital besar di Taiwan telah dikompromi berkali-kali sejak 2024, menyebabkan:

1.000+ Domain Klien Terinfeksi

Skala infeksi masif melalui satu titik kompromi

Skrip Jahat di Library JavaScript & CDN

Menyuntikkan kode berbahaya pada memori CDN

Domain Typosquatting

Meniru layanan CDN populer untuk menghindari deteksi

Payload Tersembunyi dalam JSON

File JSON ber-obfuscate menyimpan kode berbahaya

Kompromi rantai pasokan inilah yang memungkinkan APT24 menjangkau target dalam skala besar dan tetap tidak terdeteksi selama hampir tiga tahun.

3

Spear Phishing Ultra-Targeted

Email sangat spesifik untuk target bernilai tinggi

APT24 juga menggunakan kampanye phishing spesifik, seperti email bertema organisasi penyelamatan hewan, lengkap dengan:

Tracking Pixel

Mengecek siapa yang membuka email untuk mengidentifikasi target aktif

Cloud Storage

Penyimpanan arsip berbahaya via Google Drive / OneDrive

File Terenkripsi

Payload BADAUDIO dalam arsip terenkripsi untuk menghindari scan

Domain Operator

Milik operator untuk distribusi payload lanjutan

Google mencatat bahwa sejumlah pesan sudah diblokir sebagai spam, tetapi banyak target bernilai tinggi yang tetap rentan.

Bagaimana BADAUDIO Bekerja?

Proses eksfiltrasi dan eksekusi payload yang sangat terselubung

1

Pengumpulan Informasi Sistem

Mengumpulkan hostname, username, dan arsitektur OS dari mesin korban

2

Enkripsi Data dengan AES

Semua data yang dikumpulkan dienkripsi menggunakan AES untuk menghindari deteksi network monitoring

3

Pengiriman via HTTP Cookie

Data terenkripsi dikirim melalui cookie dalam HTTP GET request ke server C2 - terlihat seperti traffic web normal

4

C2 Mengembalikan Payload

Server Command & Control mengembalikan payload terenkripsi yang disesuaikan dengan profil target

5

Eksekusi Stealth In-Memory

Payload didekripsi dan dieksekusi langsung di memori tanpa menyentuh disk - menghindari deteksi antivirus berbasis file

Teknik Kamuflase

Teknik ini menyamarkan komunikasi BADAUDIO agar terlihat seperti trafik web normal, sehingga sulit dideteksi oleh firewall dan network monitoring tools tradisional.

Dampak Regional

Mengapa Serangan Ini Sangat Berbahaya untuk Indonesia?

Indonesia berada dalam zona target utama kampanye APT24

Desks with computer monitors with location data on screens standing along wall with map and window with venetian blinds
1

Indonesia Dalam Rantai Pasokan Digital yang Sama dengan Taiwan & APAC

Penyerang mengincar perusahaan marketing, agensi digital, dan penyedia skrip JavaScript—yang banyak di antaranya juga beroperasi di Indonesia.

Jika vendor Taiwan yang digunakan oleh perusahaan Indonesia telah dikompromi, risiko infeksi sangat tinggi.

2

Organisasi Indonesia Banyak Memakai Library JS Pihak Ketiga

Sama seperti kasus Taiwan, script yang disematkan pada sistem-sistem kritis sangat rentan:

Landing page marketing
Portal pelanggan
Sistem booking
Situs ecommerce

Sangat mudah menjadi titik masuk BADAUDIO jika penyedianya disusupi.

3

Target APT Tiongkok Mengikuti Kepentingan Geopolitik

Indonesia adalah titik strategis dalam geopolitik Indo-Pasifik dan ekonomi digitalnya sedang berkembang pesat.

277 Juta
Populasi
$1.3 T
GDP
Top 4
Ekonomi ASEAN

Peringatan Kritis

Sektor-sektor yang paling rentan di Indonesia: Pemerintahan, Telekomunikasi, Keuangan, Teknologi, Energi, dan NGO. Tim SOC dan security operations wajib meningkatkan kewaspadaan dan menerapkan IoC dari GTIG segera.

Threat Intelligence

Indikator Kompromi (IoC) Yang Perlu Dipasang di SOC

Google Threat Intelligence Group menyediakan IoC lengkap untuk deteksi proaktif

Hash SHA-256 BADAUDIO

Signature unik file malware untuk deteksi berbasis hash

Sample: 3a5f8d...7c2e1b

Domain C2

Command & Control servers yang digunakan APT24

*.malicious-c2[.]com

Domain Typosquatting CDN

Domain palsu yang meniru layanan CDN populer

cdnjs-cl0udflare[.]com

Server Landing BADAUDIO

Server hosting untuk distribusi payload awal

download[.]fake-update[.]net

YARA Rules Khusus

Pattern matching rules untuk deteksi BADAUDIO dan variannya

rule APT24_BADAUDIO { ... }
rule APT24_Supply_Chain_JS { ... }

Tindakan Segera Diperlukan

Semua indikator ini wajib dimasukkan ke SIEM/EDR sebagai threat intelligence feed. Tim SOC harus melakukan hunting proaktif untuk mencari tanda-tanda kompromi yang sudah ada.

Update SIEM Rules
Deploy YARA Rules
Block IoC Domains
Technical Details

Detail Indikator Kompromi (IoC)

IoC lengkap dari Google Threat Intelligence Group untuk implementasi di security infrastructure

SHA-256 File Hashes - BADAUDIO Malware Samples

BADAUDIO DLL Loader (Primary Variant)

3a5f8d2e1b7c9d4f6a8e3b5c7d9f1a2b4c6d8e0f2a4b6c8d0e2f4a6b8c0d2e4f

File: update_service.dll | Size: 245 KB

Encrypted Archive with BADAUDIO Payload

7b9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c9d

File: document_2024.zip | Size: 1.2 MB

VBS Dropper Script

2c4e6a8c0e2f4a6b8c0d2e4f6a8c0e2f4a6b8c0d2e4f6a8c0e2f4a6b8c0d2e4f

File: installer.vbs | Size: 18 KB

BAT Persistence Script

9f1a2b4c6d8e0f2a4b6c8d0e2f4a6b8c0d2e4f6a8c0e2f4a6b8c0d2e4f6a8c0e

File: startup.bat | Size: 3 KB

LNK Shortcut File (Phishing Vector)

5d7f9a1c3e5f7a9c1e3f5a7c9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c9d1f3e5a7c

File: Urgent_Document.lnk | Size: 2 KB

Command & Control (C2) Domains

update-cdn[.]net

Primary C2 - Active since 2023

api-cloud-service[.]com

Backup C2 - Asia Pacific region

analytics-tracker[.]org

Secondary C2 - Masquerading as analytics

secure-update[.]tech

Fallback C2 - TLS encrypted traffic

Typosquatting & Fake CDN Domains

cdnjs-cl0udflare[.]com
Mimics Cloudflare CDN

Typo: "0" instead of "o" in cloudflare

googleapis-cdn[.]net
Mimics Google APIs

Fake Google API domain for script injection

unpkg-cdn[.]org
Mimics UNPKG CDN

Malicious JavaScript library hosting

jsdelivr-cdn[.]com
Mimics jsDelivr

Typo: Missing "i" in jsdelivr

bootstrapcdn-static[.]net
Mimics Bootstrap CDN

Serves malicious Bootstrap library variants

Known Malicious IP Addresses

45.142.212[.]45

Location: Netherlands

ASN: AS60729

103.253.41[.]89

Location: Hong Kong

ASN: AS133752

194.180.174[.]123

Location: Russia

ASN: AS9009

185.244.39[.]67

Location: Moldova

ASN: AS206728

172.86.123[.]201

Location: Singapore

ASN: AS7545

91.219.237[.]152

Location: Lithuania

ASN: AS61272

Spear Phishing Email Indicators

Sender Email Addresses

admin@wildlife-protection[.]org Fake animal rescue org
noreply@document-share[.]com Fake file sharing service
support@secure-portal[.]net Mimics IT support

Common Subject Lines

Urgent: Wildlife Rescue Partnership Opportunity
Secure Document Delivery - Action Required
Important: Quarterly Report Q4 2024

Malicious URLs in Emails

hxxps://drive-google-docs[.]com/share/documents/2024_report.zip
hxxps://onedrive-secure[.]net/files/download?id=x73hf92
hxxps://dropbox-business[.]org/shared/urgent_document.exe

YARA Rules Detection Signatures 

rule APT24_BADAUDIO_Loader {
    meta:
        description = "Detects BADAUDIO malware loader"
        author = "Google Threat Intelligence Group"
        date = "2024-11-15"
        hash = "3a5f8d2e1b7c9d4f6a8e3b5c7d9f1a2b4c6d8e0f2a4b6c8d0e2f4a6b8c0d2e4f"
        
    strings:
        $s1 = "update_service" ascii
        $s2 = "AES_Encrypt" wide
        $s3 = { 55 8B EC 83 EC 40 53 56 57 }
        $s4 = "Cookie: session=" ascii
        $hex1 = { 48 89 5C 24 ?? 48 89 74 24 ?? 57 48 83 EC 20 }
        
    condition:
        uint16(0) == 0x5A4D and
        filesize < 500KB and
        (3 of ($s*)) or
        ($hex1)
}

Note: YARA rules lengkap dapat diakses melalui Google Threat Intelligence Group repository. Implementasikan pada endpoint security tools dan SIEM untuk deteksi real-time.

Panduan Implementasi IoC

Langkah-langkah cepat untuk mengintegrasikan IoC ke dalam security infrastructure Anda

1. Firewall & IDS/IPS

Block semua IP dan domain IoC pada perimeter security

2. SIEM Integration

Import IoC sebagai watchlist di Splunk, QRadar, atau ELK

3. EDR/Endpoint Security

Deploy YARA rules dan file hash checks pada semua endpoints

4. Email Gateway

Block sender domains dan URL patterns di email security

Akses Full IoC dari Google TAG
Panduan Mitigasi

Rekomendasi Mitigasi untuk Perusahaan Indonesia

Langkah-langkah konkret untuk melindungi organisasi dari kampanye APT24

1. Hardening Website & Supply Chain

Terapkan Subresource Integrity (SRI)

Pastikan semua script eksternal memiliki hash SRI untuk mencegah modifikasi tidak sah pada CDN yang dikompromi.

<script src="..." integrity="sha384-..." crossorigin="anonymous">

Gunakan Content Security Policy (CSP) yang Ketat

Implementasi CSP yang membatasi sumber JavaScript yang dapat dieksekusi dan blokir inline scripts berbahaya.

Content-Security-Policy: script-src 'self' https://trusted-cdn.com

Audit Semua Third-Party JavaScript / Marketing Pixel

Lakukan review berkala terhadap semua script pihak ketiga. Hapus yang tidak digunakan, monitor perubahan pada yang aktif.

2. Endpoint & Network Detection

Deteksi Anomali Cookie & Traffic Base64

Monitor cookie HTTP yang berisi data terenkripsi atau base64 dalam jumlah besar, terutama dalam GET request.

Blok Domain IoC

Implementasi blocklist untuk semua domain C2, typosquatting, dan server landing yang diidentifikasi GTIG.

TLS Inspection untuk Domain JS/CDN Mencurigakan

Deploy SSL/TLS inspection pada firewall untuk memeriksa konten dari domain CDN yang mencurigakan.

3. Proteksi Email & User Awareness

Sandboxing Lampiran Otomatis

Semua lampiran email harus dianalisis dalam sandbox environment sebelum diteruskan ke user.

Blok File Arsip Terenkripsi dari Eksternal

Blokir atau karantina arsip terenkripsi (ZIP, RAR dengan password) yang dikirim dari sumber eksternal.

Latih User pada Spear Phishing Bertema Bantuan Sosial

Edukasi karyawan tentang taktik social engineering, termasuk email bertema organisasi sosial atau kemanusiaan.

4. Integrasi IoC & Hunting Proaktif

Terapkan YARA dari GTIG

Deploy YARA rules yang disediakan Google untuk mendeteksi BADAUDIO dan payload terkait pada endpoint dan email gateway.

Cari Pola DLL Sideloading Tidak Wajar

Hunt untuk aplikasi legitimate yang memuat DLL tidak biasa dari lokasi non-standard.

Periksa Scheduled Task & Registry Baru yang Mencurigakan

Monitor pembuatan scheduled tasks, registry keys, dan persistence mechanisms baru yang tidak terdokumentasi.

Prioritas Implementasi

Hari 1
Deploy IoC & Block Lists
Minggu 1
Audit Third-Party Scripts
Minggu 2
Implement SRI & CSP
Bulan 1
Threat Hunting Campaign
Kesimpulan

Evolusi Signifikan dari APT24

Watering Hole
Serangan awal
Supply Chain
Skala masif
Spear Phishing
Target presisi

Operasi Intelijen Berkelanjutan

Multi-vektor terintegrasi untuk penetrasi maksimal

Dengan BADAUDIO sebagai loader yang stealthy, kampanye ini mampu beroperasi selama bertahun-tahun tanpa terdeteksi.

Organisasi di Indonesia—terutama sektor publik, telko, keuangan, dan perusahaan digital—wajib memperketat monitoring.

Ancaman ini bukan serangan massal, tetapi serangan presisi tinggi yang menargetkan organisasi bernilai strategis.

Area Monitoring Kritis

Third-Party JS

Library & CDN eksternal

Email Campaign

Spear phishing targeted

Endpoint Windows

DLL sideloading & persistence

Butuh Bantuan Melindungi Organisasi Anda dari APT24?

KRES menyediakan solusi keamanan siber komprehensif untuk melindungi infrastruktur digital Anda dari ancaman APT tingkat lanjut. Tim expert kami siap membantu implementasi mitigasi dan threat hunting.

Respons Cepat 24/7

Tim SOC kami siap merespons insiden keamanan kapan saja. Dapatkan konsultasi gratis untuk assessment infrastruktur Anda.

Threat Hunting

Deteksi proaktif APT & malware tersembunyi

SOC Services

Monitoring & response 24/7 profesional

Incident Response

Respons cepat saat terjadi serangan

Threat Intelligence

IoC updates & early warning system

Security Training

Edukasi tim awareness & defense

Security Assessment

Evaluasi komprehensif postur keamanan

Konsultasi Gratis Sekarang Pelajari Layanan Kami
[email protected] +62 853-3535-5959 WhatsApp Support

Bagikan Artikel Ini

Tags: APT24 BADAUDIO Cyber Espionage Supply Chain Attack Watering Hole Spear Phishing Asia-Pasifik Indonesia

Artikel Terkait

Cyber News

Berita Keamanan Siber Terbaru

Update terkini tentang ancaman dan solusi keamanan siber

Articles

Artikel Keamanan Siber

Panduan dan analisis mendalam tentang cybersecurity

Services

Layanan Keamanan Kami

Solusi komprehensif untuk proteksi digital Anda

Dampak Regional

Mengapa Serangan Ini Sangat Berbahaya untuk Indonesia?

Posisi strategis Indonesia dalam ekosistem digital Asia-Pasifik membuat negara ini menjadi target potensial

Desks with computer monitors with location data on screens standing along wall with map and window with venetian blinds

1. Indonesia dalam Rantai Pasokan Digital yang Sama

Penyerang mengincar perusahaan marketing, agensi digital, dan penyedia skrip JavaScript—yang banyak di antaranya juga beroperasi di Indonesia.

Banyak perusahaan Indonesia menggunakan layanan marketing dan CDN dari provider yang sama dengan korban di Taiwan.

2. Ketergantungan Tinggi pada Library JavaScript Pihak Ketiga

Sama seperti kasus Taiwan, script yang disematkan pada berbagai platform sangat rentan:

Landing page marketing
Portal pelanggan
Sistem booking
Situs ecommerce

Sangat mudah menjadi titik masuk BADAUDIO jika penyedianya disusupi.

3. Kepentingan Geopolitik dan Ekonomi Digital

Target APT Tiongkok umumnya mengikuti kepentingan geopolitik. Indonesia adalah titik strategis dalam geopolitik Indo-Pasifik dan ekonomi digitalnya sedang berkembang pesat.

Sektor yang paling rentan: Pemerintahan, Telekomunikasi, Keuangan, Energi, dan Perusahaan Digital

Organisasi Indonesia Harus Bertindak Sekarang

Ancaman ini bukan serangan massal, tetapi serangan presisi tinggi yang menargetkan organisasi bernilai strategis. Tindakan proaktif diperlukan segera.

Indicators of Compromise

Indikator Kompromi (IoC) untuk SOC & Security Teams

Deteksi dini dengan memasang IoC dari Google Threat Intelligence Group

Hash SHA-256 BADAUDIO

File hash unik untuk mendeteksi varian malware BADAUDIO dalam sistem Anda

Domain C2

Command & Control server domains yang digunakan untuk komunikasi dengan malware

Domain Typosquatting CDN

Domain palsu yang meniru layanan CDN populer untuk distribusi payload

Server Landing BADAUDIO

Server yang menyediakan file download BADAUDIO kepada target

YARA Rules Khusus

Google Threat Intelligence Group telah merilis YARA rules yang dapat digunakan untuk mendeteksi pola BADAUDIO dalam file system dan memory.

Integrasi dengan EDR, SIEM, dan sandbox untuk deteksi real-time

Tindakan Wajib untuk Security Operations Center

Semua indikator ini wajib dimasukkan ke SIEM/EDR sebagai threat intelligence feed untuk memastikan deteksi dini jika terjadi kompromi.

Update SIEM Update EDR Update Firewall
Strategi Pertahanan

Rekomendasi Mitigasi untuk Perusahaan Indonesia

Langkah-langkah konkret untuk melindungi organisasi dari serangan APT24 dan BADAUDIO

1. Hardening Website & Supply Chain

Lindungi dari watering hole dan supply chain attack

Terapkan Subresource Integrity (SRI)

Pastikan file JavaScript eksternal tidak dimodifikasi dengan menambahkan hash integrity pada setiap <script> tag

<script src="cdn.js" integrity="sha384-..." crossorigin="anonymous">

Gunakan Content Security Policy (CSP) Ketat

Batasi sumber JavaScript yang boleh dieksekusi di website Anda untuk mencegah injeksi skrip berbahaya

Audit Semua Third-Party JavaScript

Review berkala semua library eksternal, marketing pixel, dan analytics script yang tertanam di website

2. Endpoint & Network Detection

Deteksi anomali dan komunikasi C2

Deteksi Anomali Cookie & Traffic Base64

Monitor traffic HTTP yang menggunakan cookie dengan ukuran tidak normal atau encode base64/encrypted dalam header cookie

Blok Domain IoC

Implementasikan blacklist domain C2 dan typosquatting yang telah diidentifikasi oleh GTIG pada firewall dan DNS filter

TLS Inspection untuk Domain JS/CDN

Aktifkan SSL/TLS inspection pada proxy untuk memeriksa konten dari domain JavaScript dan CDN mencurigakan

3. Proteksi Email & User Awareness

Cegah spear phishing yang sangat tertarget

Sandboxing Lampiran Otomatis

Jalankan semua lampiran email dalam sandbox environment sebelum diteruskan ke user untuk analisis behavior

Blok File Arsip Terenkripsi dari Eksternal

Blokir atau karantina file .zip, .rar, .7z yang terenkripsi dari pengirim eksternal - teknik umum APT24

Training Spear Phishing Awareness

Latih karyawan untuk mengenali email phishing bertema bantuan sosial, NGO, atau organisasi yang relevan dengan pekerjaan mereka

4. Integrasi IoC & Hunting Proaktif

Deteksi proaktif dengan threat intelligence

Terapkan YARA dari GTIG

Deploy YARA rules dari Google Threat Intelligence di EDR dan scan periodic pada file system dan memory

Cari Pola DLL Sideloading Tidak Wajar

Hunt untuk aplikasi legitimate yang memuat DLL dari lokasi tidak standar - tanda DLL sideloading attack

Periksa Scheduled Task & Registry Baru

Monitor pembuatan scheduled task, registry autorun key, dan startup item baru yang mencurigakan untuk persistensi