Pada tahun 2009 peneliti keamanan dari Information Warfare Monitor berhasil membongkar malware canggih yang digunakan untuk cyber spionase. Diduga malware ini telah menginfeksi 1295 komputer pada 103 negara. Malware ini dinamakan malware ghostnet. Komputer yang diinfeksi merupakan komputer para pejabat penting, diantaranya kementerian luar negeri, sejumlah kantor kedutaan, jaringan media serta NGO. Sebagian besar komputer yang terinfeksi berada di Cina.
Malware Ghostnet ini diduga disebarkan melalui email yang ditujukan pada target tertentu. Email mengandung attachment yang akan menginstal sebuah Trojan. Trojan ini akan berkomunikasi dengan sebuah control server (C&C) melalui port 80 dan menunggu perintah dari server tersebut. Kemudian C&C server akan menginstall malware Ghost RAT pada komputer target. Ghost RAT ini dapat memberi akses backdoor bagi para penyerang untuk mengambil alih komputer target. Malware ini dapat mengaktifkan kamera, menjalankan fungsi merekam suara, serta mengawasi aktifitas user. Nama ghost diambil dari string yang ditemukan pada code malware.
Peneliti menemukan malware ini ketika menganalisa malware pada komputer pemerintah Tibet. Malware ini merupakan salah satu malware jenis APT. Karakteristik APT didasarkan dari penyebarannya yang diarahkan pada target tertentu. Email yang digunakan untuk penyebaran malware ini juga buka jenis email spam yang dikirim secara masal. Tapi email yang memang ditujukan khusus pada target yang terpilih. Malware ghost RAT ini memanfaatkan celah keamanan pada java CVE-2012-050. Analisa lebih lanjut tentang malware Ghost RAT bisa dilihat pada link berikut:
http://xanalysis.blogspot.com/2009/04/gh0st-rat.html
http://resources.infosecinstitute.com/ghostnet-part-i/
http://resources.infosecinstitute.com/ghostnet-part-ii/
https://www.f-secure.com/weblog/archives/00001637.html
https://www.f-secure.com/weblog/archives/ghostnet.pdf
http://www.nytimes.com/2009/03/29/technology/29spy.html
Semoga bermanfaat!