Percepatan Operasi Siber oleh COLDRIVER
Grup peretas yang diduga berafiliasi dengan Rusia, COLDRIVER, dilaporkan sedang meningkatkan tempo operasinya secara signifikan dengan merilis malware generasi baru sejak Mei 2025. Temuan ini diungkap oleh Google Threat Intelligence Group (GTIG), yang mencatat adanya sejumlah iterasi pengembangan cepat hanya dalam hitungan hari setelah publikasi malware mereka sebelumnya, LOSTKEYS.
Meskipun belum diketahui berapa lama varian baru ini dikembangkan, tim intelijen ancaman Google menyatakan tidak ada aktivitas LOSTKEYS yang terdeteksi sejak pengungkapan publiknya. Sebagai gantinya, muncul tiga malware baru yang saling berhubungan — NOROBOT, YESROBOT, dan MAYBEROBOT — yang membentuk rantai serangan kompleks.
Peneliti GTIG, Wesley Shields, menjelaskan bahwa ketiga malware tersebut “merupakan kumpulan keluarga malware yang terhubung dalam satu rantai distribusi, menunjukkan penyempurnaan teknik serangan oleh COLDRIVER.”
Perubahan Strategi: Dari Pencurian Kredensial ke Manipulasi CAPTCHA
Aktivitas terbaru COLDRIVER menunjukkan pergeseran taktik dari pola serangan tradisionalnya. Sebelumnya, kelompok ini dikenal karena menargetkan tokoh penting di LSM, penasihat kebijakan, dan pembangkang politik untuk mencuri kredensial. Namun kini, mereka beralih menggunakan umpan gaya ClickFix — skema rekayasa sosial yang menipu korban agar menjalankan perintah berbahaya PowerShell melalui jendela Run Windows dengan dalih verifikasi CAPTCHA palsu.
Serangan yang terdeteksi pada Januari, Maret, dan April 2025 sempat melibatkan penyebaran malware pencuri informasi LOSTKEYS. Setelahnya, muncul keluarga malware baru yang disebut “ROBOT”, termasuk NOROBOT dan MAYBEROBOT, yang masing-masing dilacak oleh Zscaler ThreatLabz dengan nama BAITSWITCH dan SIMPLEFIX.
Rantai Infeksi Kompleks: Dari COLDCOPY hingga PowerShell Implant
Proses infeksi bermula dari umpan HTML ClickFix bernama COLDCOPY, yang berfungsi menurunkan file DLL NOROBOT. File ini kemudian dijalankan melalui rundll32.exe untuk mengaktifkan tahap berikutnya. Versi awal dari serangan ini diketahui menyebarkan backdoor berbasis Python bernama YESROBOT, sebelum akhirnya digantikan oleh implant PowerShell yang lebih fleksibel, MAYBEROBOT.
YESROBOT menggunakan protokol HTTPS untuk menerima perintah dari server command-and-control (C2) yang telah ditentukan. Walau tergolong minimal backdoor, YESROBOT mampu mengunduh, mengeksekusi file, dan mencuri dokumen penting dari sistem korban. GTIG mencatat hanya dua insiden penggunaan YESROBOT yang terjadi selama dua minggu pada akhir Mei, tepat setelah detail tentang LOSTKEYS dipublikasikan.
Sebaliknya, MAYBEROBOT dinilai lebih canggih. Malware ini memiliki kemampuan untuk mengunduh dan menjalankan payload dari URL tertentu, mengeksekusi perintah melalui cmd.exe, serta menjalankan kode PowerShell secara langsung. Analisis menunjukkan bahwa YESROBOT kemungkinan dirilis secara tergesa-gesa sebagai langkah sementara setelah kebocoran informasi publik, sebelum akhirnya digantikan oleh MAYBEROBOT yang lebih halus dan sulit terdeteksi.
Target Bernilai Tinggi dan Upaya Menghindari Deteksi
Dalam salah satu variannya, NOROBOT bahkan sempat menginstal Python 3.8 penuh di sistem korban — sebuah langkah “berisik” yang mudah memicu kecurigaan. Namun, versi terbaru dari malware ini telah disederhanakan untuk meningkatkan keberhasilan infeksi sebelum kembali menambahkan kompleksitas dengan pembagian kunci kriptografi.
Google menilai bahwa NOROBOT dan MAYBEROBOT kini digunakan secara terbatas terhadap target bernilai tinggi, terutama individu yang sudah terlebih dahulu dikompromikan melalui phishing. Tujuan utama dari operasi ini adalah mengumpulkan intelijen tambahan dari perangkat korban.
Menurut Shields, “Evolusi berkelanjutan pada NOROBOT dan rantai infeksinya menunjukkan upaya COLDRIVER untuk terus menyesuaikan diri, menyederhanakan proses penyebaran agar lebih efektif, sekaligus menghindari sistem deteksi keamanan demi melanjutkan pengumpulan intelijen terhadap target strategis.”
Keterlibatan Tersangka Remaja di Belanda
Sementara itu, Kejaksaan Belanda (Openbaar Ministerie/OM) mengumumkan penangkapan tiga remaja berusia 17 tahun yang diduga menyediakan layanan bagi pemerintah asing. Salah satu dari mereka disebut memiliki kontak langsung dengan kelompok peretas yang berafiliasi dengan pemerintah Rusia, diduga termasuk COLDRIVER.
Menurut OM, “Tersangka utama memberikan instruksi kepada dua remaja lainnya untuk memetakan jaringan Wi-Fi di beberapa lokasi di Den Haag. Informasi yang dikumpulkan kemudian dijual kepada kliennya dan dapat digunakan untuk spionase digital serta serangan siber.”
Dua tersangka ditangkap pada 22 September 2025, sementara tersangka ketiga yang memiliki peran lebih kecil dikenai tahanan rumah. Pemerintah Belanda menegaskan bahwa sejauh ini belum ada indikasi tekanan eksternal terhadap tersangka yang berhubungan dengan kelompok peretas Rusia.
Kesimpulan dari Peningkatan Ancaman Siber dari COLDRIVER
Perkembangan terbaru dari malware COLDRIVER menandai babak baru dalam evolusi ancaman siber yang didukung negara. Dengan munculnya NOROBOT, YESROBOT, dan MAYBEROBOT, kelompok ini menunjukkan kemampuan adaptasi yang cepat dan strategi yang semakin halus dalam menghindari deteksi.
Langkah-langkah agresif seperti penggunaan umpan ClickFix, eksploitasi PowerShell, serta pembaruan cepat pasca-publikasi menjadikan COLDRIVER sebagai salah satu aktor siber paling berbahaya dan adaptif di tahun 2025.
Kampanye ini sekaligus menegaskan bahwa di era modern, perang siber tidak lagi hanya terjadi antarnegara, melainkan juga melibatkan jaringan kriminal lintas batas dengan kemampuan teknis tinggi dan tujuan intelijen yang kompleks.