EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

Para peneliti keamanan siber memperingatkan tentang kampanye malware global yang menggunakan alat-alat kecerdasan buatan (AI) dan perangkat lunak produktivitas palsu untuk menyusup ke sistem organisasi di seluruh dunia. Berdasarkan laporan Trend Micro, kampanye ini menargetkan berbagai wilayah, termasuk Eropa, Amerika, serta kawasan Asia, Timur Tengah, dan Afrika (AMEA), dengan sektor manufaktur, pemerintahan, kesehatan, teknologi, dan ritel menjadi yang paling terdampak. Negara-negara seperti India, Amerika Serikat, Prancis, Italia, Brasil, Jerman, Inggris, Norwegia, Spanyol, dan Kanada mencatat infeksi terbanyak, menunjukkan bahwa ancaman ini bersifat global.

Kampanye ini, yang diberi kode nama EvilAI oleh Trend Micro, menandai kemampuan luar biasa para aktor ancaman dalam mengaburkan garis antara perangkat lunak asli dan palsu. Malware ini disisipkan dalam aplikasi yang tampak sah seperti AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister, dan Tampered Chef. Menurut para peneliti, serangan ini menggunakan sertifikat digital dari perusahaan sementara untuk membuat aplikasi terlihat resmi, bahkan ketika sertifikat lama sudah dicabut, sehingga sulit terdeteksi oleh pengguna maupun sistem keamanan.

Tujuan akhir dari kampanye EvilAI adalah melakukan rekognisi mendalam, mengekstraksi data browser sensitif, serta menjaga komunikasi terenkripsi waktu nyata dengan server command-and-control (C2). Malware ini memanfaatkan berbagai metode propagasi, termasuk situs web yang meniru portal vendor, iklan berbahaya, manipulasi SEO, dan tautan unduhan yang dipromosikan di forum maupun media sosial. Fungsi utamanya adalah sebagai stager, memungkinkan akses awal, mempertahankan keberadaan di sistem yang terinfeksi, dan menyiapkan sistem untuk muatan tambahan, sambil memetakan perangkat lunak keamanan yang terpasang.

Lebih lanjut, analisis G DATA menunjukkan bahwa pengembang di balik OneStart, ManualFinder, dan AppSuite menggunakan infrastruktur server yang sama untuk mendistribusikan dan mengonfigurasi program-program ini. Malware seperti BaoLoader, yang dipakai sebagai komponen utama kampanye ini, berperan sebagai backdoor untuk mengeksekusi perintah apa pun pada sistem yang terinfeksi, sering kali digunakan untuk penipuan iklan. Sementara itu, TamperedChef awalnya dikenal sebagai aplikasi resep yang tampak aman, namun sebenarnya menjalankan fungsionalitas backdoor yang sama.

Eksploitasi malware ini memanfaatkan kerangka NeutralinoJS untuk mengeksekusi kode JavaScript secara tersembunyi, memungkinkan akses ke sistem berkas, proses, dan komunikasi jaringan tanpa terdeteksi. Teknik lain termasuk penggunaan Unicode homoglyphs untuk menyembunyikan payload dalam respons API yang tampak sah, mempersulit pendeteksian berbasis string atau signature. Keberadaan beberapa penerbit sertifikat digital di berbagai sampel menunjukkan kemungkinan adanya malware-as-a-service atau pasar sertifikat digital yang memfasilitasi distribusi skala besar.

EvilAI menjadi peringatan nyata tentang evolusi metode distribusi malware modern. Penyalahgunaan aplikasi yang tampak sah, kode digital yang resmi, dan teknik penyamaran canggih memungkinkan malware ini melewati pertahanan titik akhir, mengeksploitasi kepercayaan pengguna, dan menyusup ke jaringan organisasi tanpa disadari. Para profesional keamanan menekankan pentingnya deteksi dini, validasi sertifikat, serta pemantauan perilaku aplikasi untuk mencegah kerugian finansial, reputasi, dan kebocoran data yang luas.

Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan siber yang menimpa jaringan supermarket Inggris, Co-op, telah menimbulkan dampak finansial yang mengejutkan. Perusahaan ini mengungkap bahwa insiden yang terjadi awal tahun ini mengakibatkan kerugian pendapatan sebesar £206 juta (sekitar $276 juta), dengan estimasi pukulan £120 juta ($161 juta) terhadap laba tahunan. Angka ini menandai salah satu kerugian terbesar yang pernah dialami Co-op akibat serangan siber, yang juga mengguncang reputasi dan kepercayaan pelanggan.

Dalam laporan semester yang berakhir 5 Juli, Co-op melaporkan kerugian mendasar sebelum pajak sebesar £75 juta, berbanding dengan laba £3 juta pada periode yang sama tahun sebelumnya. Selain dampak langsung serangan siber, meningkatnya biaya tenaga kerja dan beban regulasi turut menekan kinerja keuangan. Perusahaan bahkan memperkirakan biaya keseluruhan akan jauh lebih besar pada paruh kedua tahun ini karena dampak lanjutan insiden tersebut.

Rachel Izzard, Chief Financial Officer Co-op, menjelaskan kepada Reuters bahwa “pukulan terhadap paruh pertama adalah £80 juta, dan kami percaya dampaknya untuk setahun penuh adalah £120 juta, termasuk pemulihan asuransi.” Namun, ia juga mengungkapkan bahwa perlindungan asuransi yang dimiliki Co-op sangat terbatas. “Kami hanya memiliki elemen front-end dari asuransi siber dalam hal kemampuan respons awal teknologi pihak ketiga, tetapi kami tidak yakin akan mengklaim asuransi untuk kerugian di sisi back-end,” tambahnya. Total pendapatan Co-op yang dilaporkan mencapai £5,48 miliar, lebih rendah dari £5,6 miliar yang dibukukan pada periode yang sama tahun 2024.

Serangan ini dikaitkan dengan operasi ransomware bernama Scattered Spider. Robert Elsey, Chief Digital and Information Officer Co-op, mengungkapkan bahwa para pelaku berhasil menyusup melalui teknik social engineering dengan menyamar sebagai karyawan internal. Kelompok ini dilaporkan mencuri data pribadi 20 juta pelanggan Co-op. CEO Shirine Khoury-Haq juga mengonfirmasi bahwa data pribadi 6,5 juta anggota Co-op, baik yang aktif maupun mantan anggota, telah diretas. Insiden ini memperlihatkan betapa luasnya dampak serangan siber modern yang kini dapat melumpuhkan seluruh aspek bisnis, dari pelanggan hingga operasional.

Para pakar keamanan menilai insiden ini sebagai peringatan serius bagi dunia usaha. Simon Phillips, CTO Engineering CybaVerse, mengatakan kepada Cybernews bahwa “serangan siber saat ini bisa menghancurkan bisnis, mempengaruhi hampir setiap fungsi, mulai dari pelanggan, karyawan, operasional hingga keuntungan. Namun, banyak pimpinan bisnis masih belum menyadari konsekuensi ini dan kurang berinvestasi dalam pertahanan, sehingga organisasi mereka tetap rentan.” Phillips menambahkan bahwa kerugian sebesar £206 juta adalah angka yang luar biasa dan hanya sedikit organisasi yang mampu bertahan. “Beruntung bagi organisasi sebesar Co-op, ini adalah pukulan berat tetapi masih bisa dipulihkan,” ujarnya.

Otoritas setempat juga bergerak cepat. Pada Juli, National Crime Agency (NCA) menangkap empat orang yang diduga terlibat dalam serangan terhadap Co-op, Marks & Spencer, dan Harrods. Insiden di Marks & Spencer mempengaruhi sistem pembayaran nirsentuh dan memaksa penghentian pemrosesan pesanan online untuk pakaian dan perlengkapan rumah selama 46 hari. Sementara itu, pada serangan terhadap Harrods, peretas mencoba mendapatkan akses tidak sah ke beberapa sistemnya.

Menurut Andy McKay, Kepala IT dan Layanan Keamanan Siber di Converged Communication Solutions, kerugian yang dialami Co-op memberikan pandangan nyata tentang besarnya dampak ransomware saat ini. “Banyak bisnis yang enggan mengeluarkan biaya untuk keamanan siber, melihatnya sebagai pengeluaran opsional yang tidak memberikan pengembalian langsung. Ini sangat keliru,” katanya. McKay menekankan bahwa ROI dari keamanan siber adalah kelangsungan bisnis, operasi yang aman dan tanpa gangguan, serta terhindarnya data sensitif pelanggan, karyawan, dan perusahaan dari risiko. Selain itu, investasi ini juga mencegah denda kepatuhan regulasi serta kerugian finansial dan reputasi yang tak tergantikan.

Tren serangan semacam ini bukan hanya dialami Co-op. McKay menyebutkan bahwa tahun ini Marks & Spencer juga terkena dampak hingga £300 juta, sedangkan serangan yang sedang berlangsung terhadap Jaguar Land Rover telah menghentikan lini produksi perusahaan, membuat puluhan pemasoknya terancam kolaps. Kerugian dari serangan ini dilaporkan mencapai £50 juta per minggu. McKay menegaskan bahwa bagi para pemimpin bisnis, situasi ini harus menjadi peringatan keras untuk memahami risiko nyata dari kurangnya investasi pada keamanan siber. “Bukan hanya teknologi yang terancam, begitu penyerang berhasil masuk ke jaringan, segalanya bisa berisiko,” pungkasnya.

Artikel ini memperlihatkan dengan jelas bahwa serangan siber modern bukan lagi masalah teknis belaka, melainkan ancaman strategis yang dapat menghancurkan fondasi keuangan, reputasi, dan kelangsungan bisnis. Kasus Co-op menjadi contoh nyata mengapa investasi pada keamanan siber bukan sekadar biaya, melainkan penopang utama keberlangsungan perusahaan di era digital.

Kolaborasi Gamaredon dan Turla: Serangan Siber Bersama Menargetkan Ukraina

Kolaborasi Gamaredon dan Turla: Serangan Siber Bersama Menargetkan Ukraina

Para peneliti keamanan siber menemukan bukti mengejutkan mengenai kolaborasi dua kelompok peretas Rusia, Gamaredon dan Turla, yang secara aktif menyasar dan mengompromikan entitas di Ukraina. Temuan ini menandai fase baru ancaman dunia maya, di mana kelompok-kelompok dengan afiliasi berbeda terlihat bekerja sama untuk memperkuat efektivitas serangan mereka.

Menurut laporan terbaru perusahaan keamanan siber Slovakia ESET, pihaknya mengamati penggunaan alat Gamaredon – PteroGraphin dan PteroOdd – untuk mengeksekusi backdoor Kazuar milik kelompok Turla pada salah satu endpoint di Ukraina pada Februari 2025. Indikasi ini menunjukkan bahwa Turla kemungkinan besar memanfaatkan akses Gamaredon untuk menginfeksi mesin tertentu di Ukraina dan mengantarkan backdoor Kazuar.

PteroGraphin dan Peranannya dalam Penyebaran Kazuar

Dalam laporannya yang dibagikan ke The Hacker News, ESET menyebutkan bahwa PteroGraphin digunakan untuk memulai ulang Kazuar v3, kemungkinan setelah aplikasi tersebut crash atau gagal berjalan otomatis. Hal ini menandakan bahwa PteroGraphin berfungsi sebagai metode pemulihan yang digunakan Turla.

Tak hanya itu, pada April dan Juni 2025, ESET juga mendeteksi penyebaran Kazuar v2 melalui dua malware Gamaredon lainnya, yakni PteroOdd dan PteroPaste. Temuan ini memperkuat dugaan adanya pola kerja sama sistematis antara kedua kelompok.

Profil Gamaredon dan Turla

Gamaredon, yang juga dikenal dengan sebutan Aqua Blizzard atau Armageddon, diperkirakan berafiliasi dengan Dinas Keamanan Federal Rusia (FSB) dan telah aktif sejak setidaknya 2013. Kelompok ini bertanggung jawab atas berbagai serangan, terutama terhadap institusi pemerintahan Ukraina.
Sementara itu, Turla – alias Secret Blizzard, Venomous Bear, atau Snake – adalah kelompok spionase siber yang telah beroperasi sejak 2004, bahkan kemungkinan sejak akhir 1990-an. Turla dikenal menargetkan sasaran-sasaran bernilai tinggi, termasuk pemerintah dan entitas diplomatik di Eropa, Asia Tengah, dan Timur Tengah. Mereka pernah membobol organisasi besar seperti Departemen Pertahanan AS pada 2008 dan perusahaan pertahanan Swiss RUAG pada 2014.

Latar Belakang Invasi dan Fokus Serangan

ESET menilai bahwa invasi penuh Rusia ke Ukraina pada 2022 menjadi pemicu konvergensi ini. Dalam beberapa bulan terakhir, serangan mereka semakin memusatkan perhatian pada sektor pertahanan Ukraina, yang menunjukkan peningkatan agresivitas dan koordinasi antar kelompok.

Kazuar sendiri adalah salah satu implant andalan Turla yang terus diperbarui. Sebelumnya, malware ini pernah memanfaatkan bot Amadey untuk menginstal backdoor Tavdig sebelum menjatuhkan alat berbasis .NET. Artefak awal terkait Kazuar telah terlihat sejak 2016, menurut Kaspersky.

Senjata Gamaredon: PteroGraphin, PteroOdd, dan PteroPaste

Di sisi lain, PteroGraphin, PteroOdd, dan PteroPaste merupakan bagian dari gudang senjata Gamaredon yang terus berkembang untuk menyampaikan payload tambahan. PteroGraphin, misalnya, adalah alat PowerShell yang menggunakan add-in Microsoft Excel dan tugas terjadwal sebagai mekanisme persistensi, serta memanfaatkan Telegraph API untuk command-and-control (C2). Alat ini pertama kali ditemukan pada Agustus 2024.

Vektor akses awal yang digunakan Gamaredon belum sepenuhnya jelas. Namun, kelompok ini memiliki rekam jejak menggunakan spear-phishing dan file LNK berbahaya pada media eksternal dengan bantuan alat seperti PteroLNK untuk penyebaran.

Rangkaian Serangan yang Terstruktur

Selama 18 bulan terakhir, indikator terkait Turla telah terdeteksi pada tujuh mesin di Ukraina, empat di antaranya dibobol oleh Gamaredon pada Januari 2025. Versi terbaru Kazuar (Kazuar v3) dilaporkan dideploy pada akhir Februari. Menurut ESET, Kazuar v2 dan v3 memiliki basis kode yang sama, dengan v3 mencakup sekitar 35% lebih banyak baris C# dibanding v2 dan memperkenalkan metode transport jaringan baru melalui web sockets dan Exchange Web Services.

Rantai serangan dimulai ketika Gamaredon mengerahkan PteroGraphin untuk mengunduh downloader PowerShell bernama PteroOdd, yang kemudian mengambil payload dari Telegraph untuk mengeksekusi Kazuar. Payload tersebut dirancang untuk mengumpulkan dan mengeksfiltrasi nama komputer korban serta nomor seri volume drive sistem ke subdomain Cloudflare Workers sebelum meluncurkan Kazuar.

Menariknya, ESET menemukan bahwa Kazuar telah berada di sistem sejak 11 Februari 2025, sehingga ada kemungkinan Gamaredon yang mengunduh backdoor tersebut.

Bukti-Bukti Tambahan dan Teknik Eksfiltrasi Data

Sebagai tanda bahwa fenomena ini bukan kasus tunggal, ESET mengungkapkan keberadaan sampel PteroOdd lain pada mesin berbeda di Ukraina pada Maret 2025 yang juga terinfeksi Kazuar. Malware ini mampu mengumpulkan berbagai informasi sistem, termasuk daftar versi .NET yang terinstal, lalu mengirimkannya ke domain eksternal “eset.ydns[.]eu”. Fakta bahwa toolset Gamaredon tidak memiliki malware berbasis .NET sementara Kazuar berbasis .NET memperkuat dugaan bahwa langkah pengumpulan data ini diperuntukkan bagi Turla.

Gelombang serangan kedua terdeteksi pada pertengahan April 2025, saat PteroOdd digunakan untuk menjatuhkan downloader PowerShell lain yang diberi sandi PteroEffigy. Downloader ini kemudian menghubungi domain “eset.ydns[.]eu” untuk mengirimkan Kazuar v2 (“scrss.ps1”), yang sebelumnya telah didokumentasikan Palo Alto Networks pada akhir 2023.

ESET juga mendeteksi rantai serangan ketiga pada 5 dan 6 Juni 2025, di mana downloader PowerShell bernama PteroPaste digunakan untuk menginstal Kazuar v2 (“ekrn.ps1”) dari domain “91.231.182[.]187” pada dua mesin di Ukraina. Nama “ekrn” diduga sebagai upaya pelaku untuk menyamar sebagai “ekrn.exe,” file asli dari produk keamanan endpoint ESET.

Konfirmasi Kolaborasi Antar Kelompok

“Kami kini meyakini dengan tingkat kepercayaan tinggi bahwa kedua kelompok – yang sama-sama berafiliasi dengan FSB – memang bekerja sama, dan Gamaredon menyediakan akses awal untuk Turla,” ujar peneliti ESET Matthieu Faou dan Zoltán Rusnák.

Temuan ini mempertegas betapa kompleks dan terkoordinasinya ancaman dunia maya yang dihadapi Ukraina. Kolaborasi antar kelompok peretas negara menunjukkan bahwa serangan ke depan mungkin semakin sulit dideteksi dan dicegah tanpa upaya keamanan yang berlapis serta analisis intelijen ancaman yang berkelanjutan.

Villager: Framework Penetration Testing Berbasis AI yang Mengguncang Dunia Keamanan Siber

Dunia keamanan siber sedang dihebohkan oleh kemunculan Villager, sebuah AI-powered penetration testing framework yang menggabungkan toolset Kali Linux dengan model DeepSeek AI untuk mengotomatisasi seluruh alur serangan siber. Sejak dirilis di Python Package Index (PyPI) pada Juli 2025 oleh grup asal Tiongkok Cyberspike, Villager telah diunduh lebih dari 10.000 kali hanya dalam dua bulan pertama.

Perubahan Paradigma: Dari Red Team ke Senjata Ancaman

Peneliti Straiker’s AI Research (STAR) menyebut kemunculan Villager sebagai “Cobalt Strike generasi baru”. Awalnya dirancang untuk penetration testing legal, framework ini berpotensi disalahgunakan aktor jahat karena tingkat otomatisasi dan adaptasinya yang tinggi. Seperti halnya Cobalt Strike, Villager berisiko berubah dari alat red team menjadi senjata pilihan bagi pelaku ancaman siber.

Keunggulan Teknis Villager: AI + Kali Linux

Berbeda dari framework tradisional yang mengandalkan scripted playbooks, Villager memanfaatkan natural language processing (NLP) untuk mengubah perintah teks biasa menjadi rangkaian serangan dinamis berbasis AI. Dengan arsitektur Model Context Protocol (MCP) yang terdistribusi, Villager mengoperasikan beberapa layanan kunci:

• MCP Client Service (port 25989) untuk koordinasi pesan.
• Database 4.201 AI system prompts untuk pengambilan keputusan eksploitasi.
• On-demand container creation yang otomatis meluncurkan lingkungan Kali Linux terisolasi untuk pemindaian jaringan dan penilaian kerentanan.

Kontainer ini dilengkapi mekanisme self-destruct 24 jam yang menghapus log dan bukti aktivitas, plus port SSH acak untuk menyulitkan deteksi forensik. Kombinasi sifat transien kontainer dan orkestrasi AI menciptakan hambatan besar bagi tim respons insiden.

Integrasi DeepSeek AI: Serangan Dinamis Sesuai Karakteristik Target

Framework Villager terhubung ke model DeepSeek melalui endpoint kustom http://gpus.dev.cyberspike.top:8000/v1/chat/completions menggunakan model proprietary “al-1s-20250421” dengan tokenisasi GPT-3.5-turbo. Integrasi ini memungkinkan penyesuaian strategi serangan secara dinamis—misalnya otomatis menjalankan WPScan saat mendeteksi WordPress, atau beralih ke browser automation saat menemukan endpoint API. 

Jejak Cyberspike: Dari RAT ke AI Attack Platform

Domain cyberspike[.]top didaftarkan 27 November 2023 oleh Changchun Anshanyuan Technology Co., Ltd., perusahaan Tiongkok yang terdaftar sebagai pengembang AI dan aplikasi perangkat lunak. Namun investigasi menunjukkan minimnya bukti legitimasi perusahaan ini. Arsip situs memperlihatkan Cyberspike sebelumnya memasarkan produk dengan fitur Remote Administration Tool (RAT), reverse proxy, dan multi-stage generator—repackaging dari AsyncRAT yang terkenal digunakan pelaku kejahatan sejak 2019.

Individu di balik Villager diidentifikasi sebagai @stupidfish001, mantan pemain Capture The Flag (CTF) untuk tim HSCSEC asal Tiongkok yang memelihara banyak alamat email.

Arsitektur Command and Control: Penetration Testing Otomatis dari Teks Sederhana

Villager memiliki arsitektur task-based command and control melalui FastAPI (port 37695) yang memungkinkan perintah bahasa alami seperti “Test example.com for vulnerabilities” dipecah otomatis menjadi sub-tugas lengkap dengan dependency tracking dan failure recovery. Operator dapat memantau progres secara real-time melalui berbagai endpoint, menciptakan command center untuk operasi siber berbasis AI.

Fitur tambahan:

• Browser automation (port 8080) untuk interaksi web dan pengujian sisi klien.
• Eksekusi kode langsung melalui fungsi pyeval() dan os_execute_cmd() untuk kemampuan level sistem.

Kombinasi ini menciptakan attack chain yang dapat beradaptasi secara real-time terhadap kerentanan baru dan konfigurasi sistem target.

Dampak bagi Organisasi: Risiko yang Meningkat

Ketersediaan luas Villager di PyPI menciptakan implikasi besar bagi keamanan perusahaan:

• Frekuensi pemindaian eksternal otomatis meningkat.
• Siklus serangan lebih cepat, mempersempit jendela deteksi dan respons.
• Blended attacks menggunakan tool siap pakai mempersulit atribusi.
• Risiko supply chain meningkat bagi pipeline CI/CD atau workstation pengembang yang bisa saja memasang paket berbahaya tanpa sadar.

Rekomendasi Defensive Measures

Untuk menghadapi ancaman ini, para profesional keamanan menyarankan:

• Deploy MCP Protocol Security Gateway untuk inspeksi real-time dan penyaringan komunikasi MCP.
• Deteksi pola pemanggilan tool berbahaya dan perilaku AI agent yang tidak sah.
• Perketat kontrol instalasi paket Python pada server internal.
• Gunakan threat intelligence feed terbaru untuk mendeteksi domain dan IP terkait Cyberspike.

Villager Sebagai Titik Balik AI dalam Keamanan Siber

Kemunculan Villager menunjukkan pergeseran besar di lanskap keamanan siber: AI bukan hanya alat pertahanan, tapi juga akselerator serangan. Integrasi penuh Kali Linux, DeepSeek AI, dan arsitektur MCP menjadikan framework ini unik sekaligus berbahaya. Organisasi harus meningkatkan kewaspadaan dan memperkuat kebijakan keamanan untuk menghadapi era baru AI-powered penetration testing frameworks.

SEO Poisoning Targetkan Pengguna Berbahasa Mandarin: Malware HiddenGh0st, Winos, dan kkRAT Menyebar Lewat Situs Palsu

Peneliti keamanan siber memperingatkan adanya kampanye search engine optimization (SEO) poisoning yang menargetkan pengguna berbahasa Mandarin dengan menyebarkan malware melalui situs perangkat lunak palsu. Ancaman ini pertama kali diungkap Fortinet FortiGuard Labs pada Agustus 2025. Penyerang menggunakan SEO plugins untuk memanipulasi peringkat pencarian Google, mendaftarkan domain tiruan yang menyerupai situs resmi, dan memikat korban agar mengunduh installer berbahaya.

Teknik Penyerang: Manipulasi SEO dan Domain Tiruan

Menurut peneliti Fortinet, Pei Han Liao, pelaku memanfaatkan bahasa yang meyakinkan serta substitusi karakter kecil pada nama domain untuk mengelabui pengguna. Situs palsu tersebut meniru aplikasi populer seperti DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp, dan WPS Office, lalu menyisipkan trojanized installer yang mengandung malware. “Installer yang digunakan bahkan memuat aplikasi asli sekaligus muatan berbahaya, sehingga sulit dideteksi korban,” kata Fortinet.

Di balik situs ini, terdapat skrip bernama nice.js yang mengontrol proses distribusi malware dalam beberapa tahap: memanggil tautan unduhan, mengurai data JSON, lalu mengarahkan korban ke URL installer berbahaya.

HiddenGh0st dan Winos (ValleyRAT): Evolusi Gh0st RAT

Kampanye ini men-deploy malware keluarga HiddenGh0st dan Winos (alias ValleyRAT), keduanya varian remote access trojan (RAT) populer Gh0st RAT. Penggunaan Winos dikaitkan dengan kelompok kejahatan siber Silver Fox (alias SwimSnake, The Great Thief of Valley, UTG-Q-1000, Void Arachne) yang diduga aktif sejak 2022.

Installer berbahaya memuat file DLL jahat “EnumW.dll” untuk menghindari deteksi, memicu inflasi memori, dan memperlambat alat analisis. Ada juga “vstdlib.dll” yang digunakan untuk mengekstrak payload utama sambil mengecek keberadaan antivirus 360 Total Security. Jika terdeteksi, malware menerapkan teknik TypeLib COM hijacking untuk bertahan. Jika tidak, ia membuat Windows shortcut menuju executable “insalivation.exe”. Tujuan akhirnya adalah men-sideload DLL “AIDE.dll” yang menjalankan tiga fungsi inti: Command-and-Control (C2), Heartbeat, dan Monitor – termasuk mencuri data, memantau proses, hingga meretas dompet kripto Ethereum dan Tether.

Kampanye Malware Kedua: kkRAT, FatalRAT, dan Abuse GitHub Pages

Tak hanya Fortinet, Zscaler ThreatLabz juga mengungkap kampanye serupa yang menargetkan pengguna Mandarin sejak Mei 2025. Kampanye ini menggunakan malware baru kkRAT, bersama Winos dan FatalRAT, melalui situs installer palsu yang meniru aplikasi seperti DingTalk dan di-host di GitHub Pages. Dengan cara ini, pelaku memanfaatkan reputasi platform terpercaya untuk distribusi malware.

kkRAT berbagi kesamaan kode dengan Gh0st RAT dan “Big Bad Wolf” (大灰狼), serta memakai protokol komunikasi terenkripsi setelah kompresi data. Fiturnya termasuk manipulasi clipboard untuk mengganti alamat dompet kripto dan pemasangan alat remote monitoring seperti Sunlogin dan GotoHTTP. Installer jahat ini juga meminta hak administrator, mendeteksi sandbox/VM, dan mematikan adapter jaringan untuk melemahkan antivirus.

Teknik BYOVD dan Target Antivirus Populer

Menariknya, malware ini menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk menonaktifkan antivirus, memanfaatkan kode dari proyek sumber terbuka RealBlindingEDR. Targetnya meliputi 360 Internet Security, 360 Total Security, HeroBravo System Diagnostics, Kingsoft Internet Security, dan QQ电脑管家. Setelah mematikan proses antivirus, malware membuat scheduled task dengan hak SYSTEM agar setiap login proses jahat tetap berjalan. Ia juga memodifikasi Registry Windows untuk menonaktifkan pemeriksaan jaringan pada 360 Total Security sebelum mengaktifkan kembali adapter jaringan.

Tahap selanjutnya, malware mengunduh file “2025.bin” yang memicu unduhan dua arsip ZIP – trx38.zip dan p.zip. Teknik DLL side-loading kembali digunakan untuk menjalankan payload terenkripsi di “longlq.cl”. Salah satu payload yang terungkap adalah kkRAT yang mampu screen capturing, remote desktop, eksekusi perintah shell, manajemen proses, enumerasi koneksi jaringan, hingga bertindak sebagai proxy SOCKS5.

Mengapa Ancaman Ini Berbahaya?

Dengan menggabungkan SEO poisoning, trojanized installers, GitHub abuse, dan BYOVD, pelaku kejahatan siber berhasil menciptakan serangan multi-lapis yang sulit dideteksi pengguna awam maupun organisasi. Bahkan hasil pencarian dengan ranking tinggi pun bisa berisi malware. “Kasus ini menekankan pentingnya memeriksa nama domain dengan teliti sebelum mengunduh perangkat lunak,” tutur Fortinet.

Cara Melindungi Diri dari SEO Poisoning dan Malware RAT

• Selalu unduh perangkat lunak hanya dari situs resmi dengan domain yang diverifikasi.
• Periksa ejaan domain (hindari karakter yang tampak mirip).
• Gunakan antivirus yang mutakhir dan aktifkan fitur real-time protection.
• Terapkan prinsip least privilege; jangan sembarang memberi hak administrator.
• Pantau clipboard saat melakukan transaksi kripto.
• Gunakan solusi keamanan jaringan yang mampu mendeteksi aktivitas C2 dan RAT.

Fenomena SEO poisoning yang menyebarkan HiddenGh0st, Winos, FatalRAT, dan kkRAT menandakan tren baru serangan siber yang semakin kompleks. Dengan memanfaatkan popularitas aplikasi terkemuka, manipulasi algoritma pencarian Google, dan penyamaran di platform terpercaya seperti GitHub, pelaku berhasil menjangkau target luas, khususnya pengguna berbahasa Mandarin. Edukasi, cyber hygiene, dan solusi keamanan canggih menjadi kunci untuk memutus rantai serangan semacam ini.

APT36 Serang Windows & BOSS Linux: .desktop Palsu, Poseidon, dan Perburuan 2FA (2025)

Transparent Tribe (APT36) Serang Windows & BOSS Linux: File .desktop Palsu, Backdoor Poseidon, dan Perburuan 2FA

Komplotan advanced persistAPT36 Serang Windows & BOSS Linux: .desktop Palsu, Poseidon, dan Perburuan 2FAent threat Transparent Tribe (APT36) kembali menyasar lembaga pemerintah India dengan operasi lintas platform yang menyatukan spear-phishing, dropper Linux, dan pencurian kredensial bernuansa sosial rekayasa. Target tak hanya Windows; distribusi BOSS (Bharat Operating System Solutions) Linux ikut dibidik lewat shortcut .desktop yang disamarkan sebagai dokumen rapat. Begitu diklik, shortcut memicu skrip shell yang mengambil file heksadesimal dari server kendali securestore[.]cv, menyimpannya sebagai ELF berisi payload berbasis Go, lalu membuka PDF umpan di Google Drive melalui Firefox agar korban merasa semuanya normal. Pada saat yang sama, payload melakukan koneksi ke modgovindia[.]space:4000 untuk instruksi, unduh muat balik, dan eksfiltrasi data, kemudian menanam cron agar tetap hidup pasca reboot atau kill proses.

Jalur Masuk & Evolusi Teknik

Operasi diawali email pancingan dengan tema undangan rapat. Lampiran ditata agar terlihat seperti “Meeting_Ltr_ID1543ops.pdf.desktop”—ekstensi ganda yang menyamarkan executable sebagai PDF. Penggunaan .desktop mengakali kebiasaan pengguna Linux yang cenderung percaya pada ikon/dokumen kantor, sementara PDF umpan yang memang terbuka mengurangi kecurigaan. Di balik layar, dropper mengambil biner heksadesimal, men-decode, mengeksekusi, dan menaut ke C2 untuk menerima perintah lanjutan.

Kampanye ini juga memanfaatkan pemeriksaan anti-debugging/anti-sandbox sederhana: rekayasa untuk mengelabui emulator/analisis statis sehingga artefak berbahaya luput terdeteksi dalam pemeriksaan permukaan. Tujuan akhirnya adalah ketekalan (persistence) dan akses jangka panjang di lingkungan sensitif—bukan sekadar sekali aksi.

Poseidon: Backdoor untuk Akses Panjang atau Berulang

Analisis independen menunjukkan payload mengantarkan Poseidon, backdoor milik Transparent Tribe. Fungsinya mencakup inventarisasi sistem, pengumpulan data, perampasan kredensial, hingga potensi gerak lateral. Dengan infrastruktur C2 yang dikodekan langsung di biner dan penjadwalan via cron, operator bisa mempertahankan pijakan tanpa banyak kebisingan jaringan. Sub-klaster SideCopy yang kerap bekerja bareng APT36 memperkuat ekosistem alat dan taktik, memperluas jejak dari satu akun ke segmen jaringan yang lebih luas.

Garis Depan Sosial Rekayasa/Social Engineering: Password + 2FA

Di luar malware Linux, APT36 masih memeras nilai dari kampanye phishing kredensial yang meniru domain resmi dan menargetkan solusi 2FA Kavach. Alurnya sederhana namun efektif: korban mengetik email di halaman login tiruan, lalu diarahkan ke halaman kedua yang meminta kata sandi dan kode Kavach. Dengan domain tipografi-mirip (typosquatting) dan infrastruktur server yang dilaporkan berlokasi di Pakistan, pola ini konsisten dengan TTP kelompok—mengikis pertahanan berlapis organisasi lewat kesan “portal resmi”.

Lintasan Regional: SideWinder & Laman Mirip Resmi

Selaras dengan tren kawasan, kampanye APT lain SideWinder menyasar Bangladesh, Nepal, Pakistan, Sri Lanka, dan Turki menggunakan halaman tiruan di platform hosting populer seperti Netlify dan Pages.dev. Tema yang dipakai meniru Zimbra dan portal aman untuk dokumen/unggahan, menggiring korban agar menyerahkan kredensial di panel login palsu.

Apa Artinya untuk Indonesia?

Meski sasaran utama adalah lembaga India, bahaya limpahan (spillover) ke Indonesia nyata. Pertama, file .desktop bukan isu eksklusif; banyak distro Linux (termasuk yang dipakai tim riset, kampus, dan beberapa instansi) memanfaatkan launcher serupa. Kebijakan default beberapa desktop environment yang memudahkan menjalankan shortcut berisiko disalahgunakan jika higienitas lampiran email lemah. Kedua, phishing 2FA akan relevan di sini karena banyak institusi mengandalkan OTP berbasis aplikasi/SMS—mudah disadap lewat halaman berantai yang meminta password dan kode satu kali pakai secara berurutan. Ketiga, penggunaan Netlify/Pages.dev untuk hosting laman tiruan lazim di ekosistem lokal; nama domain yang terlihat kredibel sering menipu staff non-teknis.

Dampak praktisnya bukan sekadar kebocoran satu akun. Begitu akses awal berhasil, actor bisa merambah repositori kode, surel internal, sistem tiket, bahkan VDI/VPN; efek menular ini membuat insiden sulit diputus, apalagi jika persistence berbasis cron, systemd, dan kebijakan egress longgar.

Deteksi & Mitigasi

Organisasi di Indonesia perlu memperlakukan lampiran .desktop sebagai eksekutabel berbahaya secara default. Saring di email gateway dan EDR Linux; tampilkan peringatan eksplisit saat file mencoba jalan dari direktori Downloads. Terapkan kebijakan “buka sebagai teks” untuk tipe ini sehingga konten Exec= terlihat jelas, bukan langsung dieksekusi. Di sisi keaslian pengguna, pindahkan 2FA ke yang tahan-phishing (mis. FIDO2/WebAuthn), minimal tambahkan challenge kontekstual (lokasi/perangkat) dan rate-limit percobaan kode OTP. Untuk threat hunting, pantau:

• Koneksi keluar ke modgovindia[.]space:4000 dan endpoint tak wajar yang berkait domain securestore[.]cv.
• Aktivitas cron yang baru, binari ELF yang tiba-tiba muncul di direktori pengguna, serta eksekusi Firefox yang memanggil PDF eksternal segera setelah dropper berjalan.
• Perubahan kebijakan desktop environment yang mengizinkan trust file launcher tanpa prompt.

Langkah tambahan yang sering dilupakan: kontrol egress di sisi jaringan (allow-list), code-signing internal untuk tooling, dan tata kelola domain (pemantauan typo-squatting terhadap merek .go.id dan .ac.id).

Analisis Redaksi & Kesimpulan

Analisis. Kekuatan kampanye APT36 bukan pada eksploitasi teknis canggih semata, melainkan orkestrasi realistis yang menempel pada kebiasaan kerja harian: undangan rapat, PDF dari Drive, 2FA yang sudah dianggap “aman”, dan shortcut yang tampak wajar. Perpaduan low-noise persistence (cron), decoy visual, serta phishing dua tahap membuat insiden tahan lama dan sulit didiagnosis. Menyasar BOSS Linux menunjukkan kesadaran konteks pelaku terhadap standar lingkungan target.

Kesimpulan. Untuk ekosistem Indonesia, pelajaran utamanya jelas: jangan mengandalkan OTP saja, naikkan ke 2FA tahan-phishing, keras-kan kebijakan execution pada desktop file, dan tighten egress. Edukasi sederhana—“PDF bukan selalu PDF”—sering lebih efektif daripada membeli alat baru. Jika kebiasaan klik lampiran tak berubah, kampanye seperti ini hanya butuh branding lokal untuk memberikan kesadaran kepada pengguna awam.

PS1Bot: Kampanye Malware Baru via Malvertising, Serangan In-Memory Multi-Tahap, dan Pencurian Kripto

PS1Bot muncul sebagai kampanye malware baru yang aktif sejak awal 2025. Operatornya menggabungkan PowerShell dan C# dengan pola serangan multi-tahap berbasis memori untuk menghilangkan jejak forensik. Rantai serangan disebarkan melalui malvertising serta SEO poisoning, dan menunjukkan kemiripan teknis dengan AHK Bot yang sebelumnya dikaitkan dengan Asylum Ambuscade dan TA866. Aktivitasnya juga beririsan dengan operasi yang memakai Skitnet/Bossnet untuk mencuri data dan mengambil alih host korban.

Tahap awal infeksi biasanya dimulai dari arsip terkompresi yang diunduh korban setelah mengklik iklan palsu atau hasil pencarian yang dimanipulasi. Di dalam ZIP terdapat JavaScript bertindak sebagai pengunduh, yang mengambil scriptlet dari server eksternal. Scriptlet tersebut kemudian menulis skrip PowerShell ke disk dan mengeksekusinya, membuka pintu bagi modul lanjutan tanpa perlu pemasangan aplikasi yang terlihat.

Setelah terhubung ke server command-and-control (C2), skrip PowerShell mengambil perintah tahap berikutnya secara modular. Fitur yang teramati meliputi deteksi antivirus, pengambilan tangkapan layar, pencuri informasi dari browser serta aplikasi dompet kripto (termasuk seed phrase), keylogging dan pengumpulan clipboard, inventarisasi sistem, hingga mekanisme persistensi yang membuat skrip aktif otomatis saat boot. Arsitektur modular ini memudahkan pelaku memperbarui kemampuan dengan cepat.

Bagi pembaca di Indonesia, vektor malvertising sangat relevan karena banyak pengguna mencari “gratisan” seperti crack, activator, dan driver “mod”, yang sering dipasangkan dengan iklan atau landing page berbahaya. UMKM, kampus, dan individu yang belum memasang EDR atau kebijakan eksekusi PowerShell yang ketat lebih rentan. Dampaknya bukan sekadar kebocoran data: kredensial perbankan, aset kripto, dan akses RDP ke mesin kantor bisa dijual di pasar gelap, memicu insiden sekunder seperti ransomware.

Mitigasi praktis meliputi pembatasan PowerShell ke Constrained Language Mode, mengaktifkan logging (terutama Event ID 4104 dan 4103) serta integrasi AMSI pada EDR. Terapkan kebijakan AppLocker/WDAC, aktifkan aturan Attack Surface Reduction yang memblokir executable dari folder sementara/arsip, dan kurangi paparan malvertising via DNS sinkhole/policy serta pengelolaan allowlist iklan. Edukasikan pengguna untuk selalu mengetik domain resmi, hindari unduhan dari halaman iklan, pisahkan profil browser untuk aktivitas kripto, serta simpan seed phrase secara offline/hardware wallet.

Di sisi ekosistem periklanan, Google menyebut pemanfaatan LLM untuk menekan invalid traffic dan meninjau penempatan iklan yang menipu, dengan klaim penurunan signifikan pada praktik ad serving nakal. Upaya ini membantu, namun tidak meniadakan risiko: aktor ancaman cepat beradaptasi dan memindahkan beban ke saluran iklan atau kampanye SEO lain. Prinsipnya, perlakukan iklan dan hasil pencarian yang “terlalu bagus” sebagai sumber tidak tepercaya, verifikasi URL, dan prioritaskan unduhan dari situs resmi.

Video Terkait Akan Hadir di Channel YouTube:

Ethical Hacking Indonesia

Gelombang Brute-Force Global Hantam Fortinet SSL VPN, Lalu Beralih ke FortiManager — Analisis & Mitigasi

GreyNoise mencatat gelombang brute-force ke Fortinet SSL VPN yang kemudian beralih menarget FortiManager. Pahami pola serangan, indikator, dan mitigasi untuk organisasi di Indonesia.

Lonjakan 3 Agustus 2025 dan skala serangan

Firma intelijen ancaman GreyNoise mengamati aktivitas terkoordinasi pada 3 Agustus 2025 yang melibatkan lebih dari 780 alamat IP unik melakukan brute-force ke Fortinet SSL VPN. Dalam 24 jam terakhir, 56 IP berbeda masih tercatat aktif. Sumber IP beragam—AS, Kanada, Rusia, hingga Belanda—dengan target yang tersebar di AS, Hong Kong, Brasil, Spanyol, dan Jepang. Pola lalu lintas yang menyasar profil FortiOS menunjukkan niat yang spesifik, bukan sekadar pemindaian oportunistik acak.

Dua gelombang, dua sidik jari TCP

GreyNoise mengurai dua gelombang serangan yang muncul sebelum dan sesudah 5 Agustus. Gelombang pertama bersifat menetap dengan satu signature TCP yang konsisten—ciri umum kampanye brute-force jangka panjang. Gelombang kedua justru meledak tiba-tiba dan terkonsentrasi singkat menggunakan signature TCP berbeda. Perbedaan sidik jari ini menandakan variasi alat atau orkestrasi infrastruktur, sehingga deteksi berbasis pola perlu menyesuaikan aturan korelasi dan rate limiting.

Pergeseran target: dari FortiOS ke FortiManager

Setelah 5 Agustus, lalu lintas yang di-fingerprint dengan kombinasi signature klien dan TCP tidak lagi mengenai FortiOS. Aktivitas beralih konsisten ke FortiManager, komponen pengelolaan terpusat Fortinet. Pergeseran ini menyiratkan penyerang—kemungkinan memanfaatkan infrastruktur atau toolset yang sama—membidik layanan Fortinet lain yang memiliki nilai tinggi bagi lateral movement dan pengendalian massal kebijakan perangkat.

Jejak historis dan dugaan pemanfaatan jaringan residensial

Penelusuran jejak historis pada fingerprint pasca 5 Agustus menemukan lonjakan sebelumnya pada Juni, dengan signature klien unik yang terhubung ke perangkat FortiGate di blok ISP residensial (dikelola oleh Pilot Fiber Inc.). Ini membuka dua skenario: alat brute-force sempat diuji atau dijalankan dari rumah, atau infrastruktur menyerang bersembunyi di balik proxy residensial. Keduanya menyulitkan attribution serta memberi penyerang keuntungan evasion terhadap daftar blok IP pusat data.

Sinyal dini dan potensi CVE baru

GreyNoise juga menyoroti pola berulang: lonjakan aktivitas berbahaya kerap diikuti pengungkapan CVE baru untuk teknologi yang sama dalam rentang enam minggu. Fenomena ini paling sering terlihat pada teknologi tepi enterprise—VPN, firewall, dan alat akses jarak jauh—yang semakin digandrungi aktor ancaman maju. Artinya, organisasi perlu bersikap proaktif: jangan menunggu advisory vendor; perketat attack surface begitu sinyal dini terdeteksi.

Implikasi untuk organisasi di Indonesia & langkah mitigasi

Di Indonesia, Fortinet banyak dipakai oleh korporasi, institusi pendidikan, dan penyedia layanan TI. Brute-force terhadap SSL VPN dan FortiManager berarti kredensial dan konsol kendali bisa terpapar. Prioritaskan: (1) MFA wajib untuk VPN/admin, (2) kebijakan lockout & rate limit login, (3) IP allowlist/GeoIP untuk akses admin, (4) audit password policy dan rotasi rahasia, (5) pisahkan jaringan manajemen (segregasi dan akses jump host), (6) pantau anomali login dan signature TCP baru, (7) perbarui ke rilis yang didukung dan siapkan playbook jika advisory Fortinet/CVE baru keluar. Untuk SOC, buat aturan deteksi atas lonjakan autentikasi gagal, pola credential stuffing, dan koneksi ke endpoint FortiManager dari ASN residensial.