Evolusi ClickFix: Taktik DNS Staging, Lumma Stealer, dan Gelombang Malware Global yang Menargetkan Windows serta macOS

Perkembangan teknik social engineering kembali menunjukkan eskalasi serius setelah Microsoft mengungkap varian baru dari taktik ClickFix yang kini memanfaatkan Domain Name System sebagai kanal staging. Dalam skema ini, korban ditipu untuk menjalankan perintah melalui Windows Run dialog yang memicu eksekusi nslookup terhadap server DNS eksternal yang telah dikendalikan penyerang. Alih alih menggunakan resolver default sistem, perintah tersebut diarahkan ke infrastruktur khusus sehingga respons DNS yang diterima berisi payload tahap kedua yang kemudian dieksekusi secara langsung.

ClickFix bukan teknik baru. Dalam dua tahun terakhir, metode ini berkembang pesat melalui phishing, malvertising, dan drive by download yang mengarahkan korban ke halaman CAPTCHA palsu atau instruksi troubleshooting fiktif. Keunggulan teknik ini terletak pada eksploitasi procedural trust karena korban secara sukarela menjalankan perintah berbahaya sehingga kontrol keamanan tradisional dapat dilewati tanpa eksploitasi kerentanan teknis. Variasi seperti FileFix, JackFix, ConsentFix, CrashFix, dan GlitchFix lahir dari pola dasar yang sama, yaitu memanfaatkan legitimasi semu untuk memicu eksekusi kode arbitrer.

Dalam varian terbaru yang diidentifikasi oleh Microsoft Threat Intelligence, perintah awal dijalankan melalui cmd.exe dan melakukan lookup terhadap server DNS eksternal yang telah di hardcode. Output DNS kemudian difilter untuk mengekstrak field Name yang berisi instruksi tahap kedua. Pendekatan ini menjadikan DNS sebagai saluran komunikasi ringan yang mengurangi ketergantungan pada permintaan web konvensional dan membantu aktivitas berbahaya berbaur dengan trafik jaringan normal. Teknik ini juga memungkinkan penyerang menambahkan lapisan validasi tambahan sebelum payload utama dieksekusi.

Rantai serangan berikutnya mengarah pada pengunduhan arsip ZIP dari server eksternal seperti azwsappdev[.]com. Dari dalam arsip tersebut, skrip Python berbahaya diekstrak untuk melakukan reconnaissance, menjalankan discovery command, serta menjatuhkan VBScript yang bertugas meluncurkan ModeloRAT, remote access trojan berbasis Python yang sebelumnya disebarkan melalui varian CrashFix. Untuk mempertahankan persistensi, malware membuat file shortcut LNK di folder Startup Windows yang menunjuk ke VBScript, memastikan eksekusi otomatis setiap kali sistem dinyalakan.

Gelombang serangan ini juga berkaitan dengan peningkatan aktivitas Lumma Stealer yang diungkap oleh Bitdefender. Dalam banyak kampanye, ClickFix bergaya CAPTCHA palsu digunakan untuk menyebarkan CastleLoader versi AutoIt yang dikaitkan dengan aktor ancaman GrayBravo. Loader ini melakukan pemeriksaan terhadap lingkungan virtualisasi dan perangkat lunak keamanan sebelum mendekripsi dan mengeksekusi malware pencuri data langsung di memori. Selain ClickFix, situs crack software dan film bajakan dijadikan umpan untuk mendistribusikan installer palsu atau file yang menyamar sebagai media MP4.

CastleLoader juga memanfaatkan installer NSIS palsu yang menjalankan skrip VBA ter obfuscasi sebelum akhirnya memuat Lumma Stealer. Skrip VBA tersebut membuat scheduled task guna mempertahankan persistensi. Salah satu domain infrastruktur CastleLoader bahkan terdeteksi sebagai command and control Lumma Stealer, mengindikasikan kemungkinan kolaborasi atau penggunaan penyedia layanan yang sama di antara operator malware tersebut. Infeksi Lumma Stealer tercatat dominan di India, disusul Prancis, Amerika Serikat, Spanyol, Jerman, Brasil, Meksiko, Rumania, Italia, dan Kanada.

Selain CastleLoader, RenEngine Loader dan Hijack Loader juga teridentifikasi sebagai vektor distribusi Lumma Stealer, sering kali disamarkan sebagai cheat game atau software bajakan seperti CorelDRAW. Data dari Kaspersky menunjukkan bahwa sejak Maret 2025, serangan RenEngine terutama menyasar pengguna di Rusia, Brasil, Turki, Spanyol, Jerman, Meksiko, Aljazair, Mesir, Italia, dan Prancis.

Target serangan tidak lagi terbatas pada Windows. Ekosistem macOS kini menjadi fokus utama, khususnya dalam konteks pencurian kripto. Kampanye terbaru menyebarkan Odyssey Stealer, rebranding dari Poseidon Stealer yang merupakan fork dari Atomic macOS Stealer, untuk mengekstraksi kredensial dari ratusan ekstensi wallet browser dan puluhan aplikasi desktop wallet. Malware ini juga berfungsi sebagai remote access trojan lengkap dengan LaunchDaemon persisten yang melakukan polling ke server kendali setiap enam puluh detik serta mendukung eksekusi shell arbitrer dan proxy SOCKS5.

Teknik distribusi semakin agresif. Penyerang memanfaatkan fitur berbagi publik layanan AI generatif seperti Anthropic Claude untuk menayangkan instruksi ClickFix berbahaya yang kemudian dipromosikan melalui iklan di Google Ads. Dalam beberapa kasus, pengguna diarahkan ke halaman asli claude.ai sehingga kombinasi domain tepercaya dan instruksi teknis membuat skema ini sangat efektif. Platform lain seperti Evernote juga dimanfaatkan sebagai media staging.

Kampanye lain memanfaatkan domain lama dengan reputasi historis yang tampak sah guna menghindari deteksi. Teknik EtherHiding bahkan digunakan untuk mengeksekusi kontrak pada BNB Smart Chain dan mengambil payload dari GitHub sehingga trafik berbahaya tersamarkan sebagai aktivitas Web3 normal. Karena blockchain bersifat immutable dan terdesentralisasi, pendekatan ini meningkatkan ketahanan terhadap upaya takedown.

Laporan dari Darktrace menyoroti taktik lain di macOS, di mana malware memalsukan otorisasi TCC untuk binary Apple resmi seperti Terminal dan osascript lalu mengeksekusi aksi berbahaya melalui proses tepercaya tersebut. Sementara itu, Flare mencatat bahwa lebih dari seratus ekstensi kripto Chrome menjadi target utama stealer macOS dengan beberapa aktor memperoleh signature developer Apple yang valid untuk melewati proteksi Gatekeeper.

Realitas ekonomi mendorong fokus ini. Pengguna kripto cenderung menggunakan Mac dan menyimpan nilai signifikan dalam software wallet. Berbeda dengan rekening bank, transaksi kripto bersifat irreversible sehingga ketika seed phrase bocor, dana hilang permanen tanpa mekanisme pemulihan. Asumsi lama bahwa Mac tidak terkena virus bukan hanya usang, tetapi berbahaya. Organisasi dengan pengguna macOS memerlukan kapabilitas deteksi spesifik termasuk monitoring aplikasi unsigned yang meminta kata sandi, aktivitas Terminal abnormal, koneksi tidak wajar ke node blockchain, serta pola eksfiltrasi data yang menargetkan Keychain dan penyimpanan browser.

Evolusi ClickFix memperlihatkan bahwa lanskap ancaman modern tidak lagi bertumpu pada eksploitasi kerentanan teknis semata, melainkan pada manipulasi kepercayaan prosedural dan penyalahgunaan ekosistem digital yang sah. Integrasi DNS staging, loader modular, infrastruktur blockchain, serta pemanfaatan platform tepercaya menunjukkan bahwa strategi pertahanan harus berfokus pada deteksi perilaku dan threat hunting proaktif, bukan sekadar pendekatan berbasis signature.

Kelompok TGR-STA-1030 dari Asia Menyerang 70 Organisasi Pemerintah dan Infrastruktur Kritis di 37 Negara

Dunia siber kembali diguncang oleh aktivitas spionase tingkat tinggi yang dilakukan oleh kelompok yang sebelumnya tidak terdokumentasi, diberi nama TGR-STA-1030 oleh Palo Alto Networks Unit 42. Dalam satu tahun terakhir, kelompok ini berhasil menembus jaringan 70 organisasi pemerintah dan infrastruktur kritis di 37 negara, sekaligus melakukan pengintaian terhadap sistem pemerintahan di 155 negara. Target mereka bukan sembarangan: kementerian keuangan, lembaga penegak hukum nasional, hingga departemen yang mengurusi ekonomi, perdagangan, dan diplomasi.

Analisis Unit 42 mengungkap pola serangan yang khas. Kelompok ini diduga berasal dari Asia, ditunjukkan oleh preferensi bahasa, jam operasi GMT+8, serta alat dan layanan regional yang mereka gunakan. Strategi awal mereka memanfaatkan phishing email, yang mengarahkan korban ke layanan file hosting MEGA berbasis Selandia Baru. File ZIP yang diterima berisi malware Diaoyu Loader dan file kosong pic1.png. Malware ini memeriksa kondisi lingkungan sebelum dijalankan, seperti resolusi layar minimal dan keberadaan file PNG, untuk menghindari deteksi otomatis.

Setelah “cek keamanan” terpenuhi, malware melakukan pemeriksaan terhadap keberadaan beberapa program antivirus populer seperti Avira, Kaspersky, Bitdefender, Sentinel One, dan Symantec. Tujuannya adalah memastikan tidak ada perangkat lunak yang dapat menghentikan eksekusi mereka. Setelah itu, malware men-download file dari GitHub untuk menyebarkan Cobalt Strike payload, alat terkenal yang digunakan untuk mendapatkan kontrol penuh atas sistem target. Selain itu, TGR-STA-1030 juga mengeksploitasi berbagai N-day vulnerabilities pada software populer, termasuk produk Microsoft, SAP, Atlassian, dan Commvault.

Dalam operasionalnya, kelompok ini menggunakan rangkaian tools canggih, mulai dari command-and-control frameworks seperti Cobalt Strike, Sliver, dan SparkRAT, hingga web shells seperti Behinder dan Godzilla, serta tunnelers untuk menyamarkan koneksi mereka. Beberapa metode yang digunakan, termasuk rootkit Linux bernama ShadowGuard, menunjukkan tingkat kecanggihan tinggi, karena mampu menyembunyikan proses, file, dan direktori dari analisis sistem.

Unit 42 juga menekankan bahwa TGR-STA-1030 cermat dalam menjaga keberlangsungan akses mereka. Mereka menyewa VPS legal untuk meng-host server C2, menggunakan server tambahan sebagai relay agar jejak digital lebih sulit dilacak. Dengan cara ini, kelompok ini bisa mempertahankan akses ke sistem target selama berbulan-bulan, mengumpulkan intelijen secara terus-menerus.

Meski motivasi kelompok ini tampak pada spionase siber, dampaknya sangat serius. Target mereka adalah sistem vital pemerintah dan infrastruktur penting, dengan prioritas negara yang memiliki hubungan ekonomi strategis. Skala operasi, metode yang digunakan, serta kemampuan bertahan lama di jaringan target membuat TGR-STA-1030 menjadi salah satu ancaman global yang paling berbahaya saat ini.

Peringatan ini menunjukkan bahwa keamanan nasional tidak lagi sekadar soal pertahanan fisik. Di era digital, setiap email, setiap server, dan setiap file bisa menjadi pintu masuk bagi aktor yang sangat terorganisir dan berteknologi tinggi. Memahami modus operandi TGR-STA-1030 menjadi kunci untuk memperkuat sistem pertahanan siber di seluruh dunia.

Nigeria Tangkap Otak Phishing RaccoonO365, Skema PhaaS yang Menyerang Korporasi Global

Otoritas Nigeria mengumumkan keberhasilan mereka dalam menangkap tiga tersangka penipuan internet kelas atas yang diduga terlibat dalam serangkaian serangan phishing terhadap perusahaan-perusahaan besar di berbagai negara. Salah satu tersangka utama disebut sebagai pengembang inti di balik RaccoonO365, sebuah skema phishing-as-a-service (PhaaS) yang telah lama menjadi perhatian komunitas keamanan siber global.

Penangkapan ini diumumkan oleh Nigeria Police Force National Cybercrime Centre (NPF–NCCC), yang menyebutkan bahwa proses investigasi dilakukan melalui kerja sama erat dengan Microsoft dan Federal Bureau of Investigation (FBI). Dari hasil penyelidikan tersebut, aparat mengidentifikasi Okitipi Samuel, yang juga dikenal dengan nama Moses Felix, sebagai aktor utama sekaligus pengembang infrastruktur phishing yang digunakan dalam operasi ini.

Menurut pernyataan resmi kepolisian Nigeria, tersangka mengelola sebuah kanal Telegram yang digunakan untuk menjual tautan phishing kepada pelaku kejahatan siber lain dengan imbalan mata uang kripto. Selain itu, ia juga diketahui meng-host portal login palsu yang meniru halaman autentikasi Microsoft 365 menggunakan layanan Cloudflare, dengan memanfaatkan kredensial email yang dicuri atau diperoleh secara ilegal.

Dalam rangkaian penggeledahan yang dilakukan di kediaman para tersangka, aparat menyita sejumlah barang bukti digital, termasuk laptop, perangkat seluler, dan peralatan elektronik lain yang diduga kuat digunakan dalam aktivitas kejahatan tersebut. Dua individu lain yang turut ditangkap disebut tidak memiliki keterlibatan langsung dalam pengembangan maupun pengoperasian layanan PhaaS RaccoonO365, meskipun tetap diamankan dalam proses penyelidikan.

RaccoonO365 sendiri merupakan nama yang diberikan pada kelompok ancaman bermotif finansial yang mengembangkan toolkit phishing untuk mencuri kredensial. Toolkit ini memungkinkan pelaku kejahatan membuat halaman phishing yang menyerupai tampilan login Microsoft 365, sehingga korban tidak menyadari bahwa mereka sedang menyerahkan informasi sensitif. Microsoft melacak aktivitas kelompok ini dengan kode Storm-2246.

Pada September 2025, Microsoft mengungkapkan bahwa mereka bekerja sama dengan Cloudflare untuk mengambil alih 338 domain yang digunakan oleh infrastruktur RaccoonO365. Infrastruktur phishing ini diperkirakan telah menyebabkan pencurian setidaknya 5.000 kredensial Microsoft dari 94 negara sejak Juli 2024, menunjukkan skala operasi yang sangat luas dan terorganisir.

NPF juga menjelaskan bahwa RaccoonO365 digunakan untuk membangun portal login Microsoft palsu yang secara khusus menargetkan institusi korporasi, keuangan, dan pendidikan. Kredensial yang berhasil dicuri kemudian dimanfaatkan untuk mendapatkan akses ilegal ke akun email Microsoft 365 milik organisasi-organisasi tersebut. Investigasi gabungan menemukan banyak insiden akses tidak sah sepanjang Januari hingga September 2025, yang berawal dari pesan phishing dengan tampilan autentikasi Microsoft yang dibuat semirip mungkin dengan halaman asli.

Serangan-serangan ini berdampak serius, mulai dari business email compromise, kebocoran data, hingga kerugian finansial lintas negara. Kepolisian Nigeria menegaskan bahwa aktivitas tersebut telah merugikan banyak organisasi di berbagai yurisdiksi dan memperkuat urgensi kolaborasi internasional dalam penanganan kejahatan siber.

Di sisi lain, Microsoft dan Health-ISAC juga telah mengajukan gugatan perdata pada September terhadap Joshua Ogundipe dan empat pihak lain yang masih berstatus anonim. Gugatan tersebut menuduh para terdakwa mengoperasikan bisnis kejahatan siber dengan menjual, mendistribusikan, membeli, dan menerapkan toolkit phishing guna mendukung serangan spear-phishing tingkat lanjut dan pencurian data sensitif.

Data yang dicuri melalui operasi ini tidak berhenti pada satu kejahatan saja. Informasi tersebut digunakan kembali untuk mendukung kejahatan lanjutan, termasuk penipuan finansial, business email compromise, serangan ransomware, hingga pelanggaran hak kekayaan intelektual.

Perkembangan ini muncul di tengah meningkatnya tindakan hukum terhadap operator layanan PhaaS lainnya. Google baru-baru ini mengajukan gugatan terhadap pengelola Darcula PhaaS, dengan menyebut warga negara China, Yucheng Chang, sebagai pemimpin kelompok tersebut bersama 24 anggota lainnya. Google berupaya mendapatkan perintah pengadilan untuk menyita infrastruktur server yang digunakan dalam gelombang besar serangan smishing yang menyamar sebagai lembaga pemerintah Amerika Serikat.

Gugatan tersebut pertama kali dilaporkan oleh NBC News pada 17 Desember 2025, dan terjadi hanya sedikit lebih dari sebulan setelah Google juga menggugat kelompok peretas berbasis di China yang terkait dengan layanan PhaaS lain bernama Lighthouse. Layanan tersebut diyakini telah berdampak pada lebih dari satu juta pengguna di 120 negara.

Rangkaian penegakan hukum ini menegaskan bahwa phishing-as-a-service kini menjadi ancaman global yang ditangani secara serius oleh perusahaan teknologi dan aparat penegak hukum lintas negara. Kolaborasi internasional menjadi kunci utama dalam membongkar ekosistem kejahatan siber yang semakin terstruktur dan berorientasi bisnis.

Microsoft Ungkap “Whisper Leak”: Serangan Sampingan Baru yang Dapat Bocorkan Topik Percakapan Model Bahasa AI Meski Terenkripsi

Microsoft baru saja mengungkap detail tentang jenis serangan sampingan (side-channel attack) baru yang menargetkan model bahasa besar (Large Language Models/LLM) jarak jauh. Serangan ini memungkinkan penyerang pasif yang dapat mengamati lalu lintas jaringan untuk menebak topik percakapan pengguna dengan model bahasa, bahkan ketika data tersebut sudah dilindungi oleh enkripsi. Serangan baru ini diberi nama Whisper Leak, dan Microsoft memperingatkan bahwa kebocoran semacam ini berpotensi mengancam privasi komunikasi pengguna maupun perusahaan.

Menurut tim peneliti keamanan Microsoft yang terdiri dari Jonathan Bar Or dan Geoff McDonald, bersama Microsoft Defender Security Research Team, serangan ini memungkinkan pihak yang mengamati lalu lintas terenkripsi TLS antara pengguna dan layanan LLM untuk mengekstrak pola ukuran serta waktu paket. Dengan melatih model klasifikasi tertentu, penyerang dapat menebak apakah percakapan pengguna berkaitan dengan topik sensitif tertentu. Hal ini dapat dilakukan oleh aktor negara, penyedia layanan internet, atau seseorang yang terhubung di jaringan Wi-Fi yang sama.

Secara teknis, serangan ini mengeksploitasi mekanisme streaming pada LLM, di mana model mengirimkan data secara bertahap seiring proses pembuatan respons. Teknik ini sangat berguna untuk memberikan umpan balik cepat kepada pengguna, tetapi justru membuka peluang bagi penyerang untuk menganalisis pola lalu lintas terenkripsi. Microsoft menegaskan bahwa serangan Whisper Leak tetap efektif meski komunikasi antara pengguna dan chatbot AI dilindungi HTTPS yang seharusnya menjaga kerahasiaan data.

Whisper Leak sendiri dikembangkan berdasarkan temuan-temuan sebelumnya tentang serangan sampingan terhadap LLM. Dalam penelitian Microsoft, mereka menunjukkan bahwa urutan ukuran paket terenkripsi dan waktu antar paket yang dikirim selama proses streaming dapat cukup memberikan informasi untuk mengklasifikasikan topik awal dari percakapan pengguna. Sebagai bukti, Microsoft melatih sebuah model pembeda menggunakan LightGBM, Bi-LSTM, dan BERT, yang mampu mengenali apakah suatu prompt termasuk topik target tertentu atau tidak.

Hasilnya menunjukkan bahwa model dari Mistral, xAI, DeepSeek, dan OpenAI memiliki tingkat akurasi lebih dari 98%. Artinya, seseorang yang memantau lalu lintas jaringan bisa mengenali jika pengguna sedang membahas topik sensitif seperti pencucian uang, kritik politik, atau isu-isu yang diawasi oleh otoritas tertentu—semuanya tanpa perlu membongkar enkripsi. Lebih buruk lagi, akurasi serangan ini bisa meningkat seiring waktu jika penyerang mengumpulkan lebih banyak data untuk melatih model mereka.

Sebagai tanggapan, OpenAI, Microsoft, Mistral, dan xAI telah menerapkan langkah mitigasi untuk mengurangi risiko ini. Salah satu cara efektif yang digunakan adalah dengan menambahkan urutan teks acak dengan panjang bervariasi pada setiap respons AI. Pendekatan ini membuat panjang token menjadi tidak konsisten sehingga menyulitkan analisis pola oleh penyerang. Microsoft juga memberikan saran tambahan kepada pengguna, seperti menghindari membahas topik sensitif di jaringan publik yang tidak terpercaya, menggunakan VPN untuk perlindungan tambahan, serta memilih model non-streaming jika memungkinkan.

Temuan Whisper Leak ini muncul bersamaan dengan hasil evaluasi terhadap delapan model LLM open-weight dari berbagai perusahaan besar seperti Alibaba, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI, dan Zhipu AI. Hasil penelitian dari Cisco AI Defense menunjukkan bahwa sebagian besar model tersebut sangat rentan terhadap manipulasi adversarial, terutama dalam serangan multi-turn yang terjadi selama percakapan panjang. Peneliti dari Cisco menilai bahwa strategi penyelarasan (alignment) dan prioritas pengembangan model memengaruhi ketahanan terhadap serangan tersebut.

Secara keseluruhan, temuan ini memperlihatkan kelemahan sistemik pada model bahasa besar yang terus berkembang sejak kemunculan ChatGPT pada November 2022. Bagi perusahaan yang mengadopsi LLM open-source, risiko operasional bisa meningkat jika tidak disertai kontrol keamanan tambahan. Oleh karena itu, pengembang disarankan untuk menerapkan kontrol keamanan ketat, melakukan AI red-teaming secara berkala, memperkuat sistem prompt sesuai konteks penggunaan, serta meningkatkan ketahanan model terhadap serangan jailbreak dan manipulasi data.

Whisper Leak menjadi pengingat penting bahwa meskipun kecerdasan buatan telah membawa kemajuan besar dalam dunia digital, keamanan dan privasi tetap harus menjadi prioritas utama. Tanpa mitigasi yang tepat, bahkan lalu lintas terenkripsi sekalipun dapat menjadi pintu masuk bagi kebocoran data yang membahayakan pengguna dan organisasi di seluruh dunia.

LockBit 5.0 Bangkit: Evolusi Baru Ransomware Paling Berbahaya di Dunia Siber

LockBit 5.0 Kembali Mengguncang Dunia Siber Setelah Operasi Cronos

Setelah beberapa bulan mengalami masa dorman akibat operasi besar-besaran bernama Operation Cronos pada awal 2024, kelompok ransomware terkenal LockBit kini kembali dengan kekuatan baru. Meskipun infrastruktur mereka sempat disita dan operasi sempat terganggu, sang administrator yang dikenal dengan alias LockBitSupp berhasil membangun ulang jaringan mereka dan meluncurkan versi terbaru, yaitu LockBit 5.0 dengan kode internal “ChuongDong.” Versi ini menjadi simbol kebangkitan kelompok kriminal siber yang sempat dianggap lumpuh total.

LockBit 5.0 menandai babak baru dalam evolusi kemampuan ransomware mereka, dengan peningkatan signifikan dalam sisi teknis dan daya serang. Serangan-serangan terbaru menunjukkan bahwa kelompok ini kembali beroperasi penuh dan siap menargetkan berbagai organisasi lintas sektor serta platform di seluruh dunia.

Serangan Global dan Aktivasi Ulang Model Ransomware-as-a-Service

Sepanjang September 2025, LockBit menunjukkan tanda-tanda pemulihan operasional yang luar biasa dengan berhasil mengkompromikan belasan organisasi yang tersebar di Eropa Barat, Amerika, dan Asia. Sekitar setengah dari serangan tersebut menggunakan varian terbaru LockBit 5.0, sementara sisanya masih memanfaatkan versi sebelumnya, yaitu LockBit Black.

Serangan ini sebagian besar menargetkan lingkungan Windows — mencapai sekitar 80% dari total infeksi — sedangkan sistem ESXi dan Linux menyumbang 20% sisanya. Analisis dari tim Check Point menegaskan bahwa aktivitas ini menjadi bukti kuat bahwa model bisnis Ransomware-as-a-Service (RaaS) milik LockBit telah kembali aktif dengan efektif, menghidupkan kembali jaringan afiliasi kriminalnya di dunia maya.

Kembalinya LockBit menunjukkan betapa tangguh dan adaptifnya organisasi kejahatan siber yang sudah mapan. Setelah mengumumkan kebangkitannya di forum gelap pada awal September, LockBitSupp mulai merekrut afiliasi baru dengan biaya deposit sekitar $500 dalam bentuk Bitcoin untuk mendapatkan akses ke panel kontrol dan alat enkripsi. Langkah ini menandakan strategi ekspansi baru yang agresif, sekaligus memperluas jangkauan serangan mereka.

LockBit 5.0 Hadir dengan Enkripsi Cepat dan Kemampuan Evasif Tinggi

Varian LockBit 5.0 membawa sederet peningkatan teknis yang dirancang untuk memaksimalkan dampak serangan sekaligus meminimalkan kemungkinan deteksi. Kini ransomware ini memiliki dukungan multi-platform, dengan versi khusus untuk Windows, Linux, dan ESXi, memungkinkan pelaku menyerang berbagai infrastruktur dengan presisi tinggi.

Proses enkripsi data telah dioptimalkan untuk mempercepat waktu eksekusi, mempersempit peluang bagi tim pertahanan siber untuk merespons. Selain itu, LockBit 5.0 menggunakan ekstensi acak sepanjang 16 karakter pada file yang dienkripsi — sebuah metode cerdas untuk menghindari deteksi berbasis tanda tangan (signature-based detection).

Dari sisi perlindungan diri, LockBit 5.0 memperkenalkan fitur anti-analisis yang jauh lebih kuat. Mekanisme ini secara efektif menghambat upaya forensik digital dan rekayasa balik (reverse engineering), menjadikan proses analisis malware oleh peneliti keamanan jauh lebih kompleks.

Setiap serangan kini juga dilengkapi catatan tebusan (ransom note) yang mengidentifikasi diri sebagai LockBit 5.0. Dalam catatan tersebut, korban diberikan tautan negosiasi personal dan tenggat waktu 30 hari sebelum data hasil curian dipublikasikan secara terbuka.

Kesimpulan: Kebangkitan LockBit Jadi Ancaman Serius Dunia Siber

Kembalinya LockBit melalui versi 5.0 membuktikan bahwa operasi penegakan hukum belum cukup untuk menumpas kelompok ransomware paling produktif ini. Dengan infrastruktur yang telah diperbarui, model bisnis RaaS yang kembali aktif, serta kemampuan teknis yang jauh lebih canggih, LockBit 5.0 kini menjadi salah satu ancaman terbesar di dunia siber modern.

Para pakar keamanan menilai bahwa kemunculan varian ini bukan sekadar kebangkitan, melainkan transformasi total menuju generasi ransomware yang lebih efisien, lebih cepat, dan lebih sulit dilacak. Dunia siber kini kembali menghadapi tantangan besar untuk menahan laju serangan LockBit yang terus berevolusi.

COLDRIVER Kembangkan Malware Baru: Evolusi Cepat dari LOSTKEYS ke NOROBOT, YESROBOT, dan MAYBEROBOT

Percepatan Operasi Siber oleh COLDRIVER

Grup peretas yang diduga berafiliasi dengan Rusia, COLDRIVER, dilaporkan sedang meningkatkan tempo operasinya secara signifikan dengan merilis malware generasi baru sejak Mei 2025. Temuan ini diungkap oleh Google Threat Intelligence Group (GTIG), yang mencatat adanya sejumlah iterasi pengembangan cepat hanya dalam hitungan hari setelah publikasi malware mereka sebelumnya, LOSTKEYS.

Meskipun belum diketahui berapa lama varian baru ini dikembangkan, tim intelijen ancaman Google menyatakan tidak ada aktivitas LOSTKEYS yang terdeteksi sejak pengungkapan publiknya. Sebagai gantinya, muncul tiga malware baru yang saling berhubungan — NOROBOT, YESROBOT, dan MAYBEROBOT — yang membentuk rantai serangan kompleks.

Peneliti GTIG, Wesley Shields, menjelaskan bahwa ketiga malware tersebut “merupakan kumpulan keluarga malware yang terhubung dalam satu rantai distribusi, menunjukkan penyempurnaan teknik serangan oleh COLDRIVER.”

Perubahan Strategi: Dari Pencurian Kredensial ke Manipulasi CAPTCHA

Aktivitas terbaru COLDRIVER menunjukkan pergeseran taktik dari pola serangan tradisionalnya. Sebelumnya, kelompok ini dikenal karena menargetkan tokoh penting di LSM, penasihat kebijakan, dan pembangkang politik untuk mencuri kredensial. Namun kini, mereka beralih menggunakan umpan gaya ClickFix — skema rekayasa sosial yang menipu korban agar menjalankan perintah berbahaya PowerShell melalui jendela Run Windows dengan dalih verifikasi CAPTCHA palsu.

Serangan yang terdeteksi pada Januari, Maret, dan April 2025 sempat melibatkan penyebaran malware pencuri informasi LOSTKEYS. Setelahnya, muncul keluarga malware baru yang disebut “ROBOT”, termasuk NOROBOT dan MAYBEROBOT, yang masing-masing dilacak oleh Zscaler ThreatLabz dengan nama BAITSWITCH dan SIMPLEFIX.

Rantai Infeksi Kompleks: Dari COLDCOPY hingga PowerShell Implant

Proses infeksi bermula dari umpan HTML ClickFix bernama COLDCOPY, yang berfungsi menurunkan file DLL NOROBOT. File ini kemudian dijalankan melalui rundll32.exe untuk mengaktifkan tahap berikutnya. Versi awal dari serangan ini diketahui menyebarkan backdoor berbasis Python bernama YESROBOT, sebelum akhirnya digantikan oleh implant PowerShell yang lebih fleksibel, MAYBEROBOT.

YESROBOT menggunakan protokol HTTPS untuk menerima perintah dari server command-and-control (C2) yang telah ditentukan. Walau tergolong minimal backdoor, YESROBOT mampu mengunduh, mengeksekusi file, dan mencuri dokumen penting dari sistem korban. GTIG mencatat hanya dua insiden penggunaan YESROBOT yang terjadi selama dua minggu pada akhir Mei, tepat setelah detail tentang LOSTKEYS dipublikasikan.

Sebaliknya, MAYBEROBOT dinilai lebih canggih. Malware ini memiliki kemampuan untuk mengunduh dan menjalankan payload dari URL tertentu, mengeksekusi perintah melalui cmd.exe, serta menjalankan kode PowerShell secara langsung. Analisis menunjukkan bahwa YESROBOT kemungkinan dirilis secara tergesa-gesa sebagai langkah sementara setelah kebocoran informasi publik, sebelum akhirnya digantikan oleh MAYBEROBOT yang lebih halus dan sulit terdeteksi.

Target Bernilai Tinggi dan Upaya Menghindari Deteksi

Dalam salah satu variannya, NOROBOT bahkan sempat menginstal Python 3.8 penuh di sistem korban — sebuah langkah “berisik” yang mudah memicu kecurigaan. Namun, versi terbaru dari malware ini telah disederhanakan untuk meningkatkan keberhasilan infeksi sebelum kembali menambahkan kompleksitas dengan pembagian kunci kriptografi.

Google menilai bahwa NOROBOT dan MAYBEROBOT kini digunakan secara terbatas terhadap target bernilai tinggi, terutama individu yang sudah terlebih dahulu dikompromikan melalui phishing. Tujuan utama dari operasi ini adalah mengumpulkan intelijen tambahan dari perangkat korban.

Menurut Shields, “Evolusi berkelanjutan pada NOROBOT dan rantai infeksinya menunjukkan upaya COLDRIVER untuk terus menyesuaikan diri, menyederhanakan proses penyebaran agar lebih efektif, sekaligus menghindari sistem deteksi keamanan demi melanjutkan pengumpulan intelijen terhadap target strategis.”

Keterlibatan Tersangka Remaja di Belanda

Sementara itu, Kejaksaan Belanda (Openbaar Ministerie/OM) mengumumkan penangkapan tiga remaja berusia 17 tahun yang diduga menyediakan layanan bagi pemerintah asing. Salah satu dari mereka disebut memiliki kontak langsung dengan kelompok peretas yang berafiliasi dengan pemerintah Rusia, diduga termasuk COLDRIVER.

Menurut OM, “Tersangka utama memberikan instruksi kepada dua remaja lainnya untuk memetakan jaringan Wi-Fi di beberapa lokasi di Den Haag. Informasi yang dikumpulkan kemudian dijual kepada kliennya dan dapat digunakan untuk spionase digital serta serangan siber.”

Dua tersangka ditangkap pada 22 September 2025, sementara tersangka ketiga yang memiliki peran lebih kecil dikenai tahanan rumah. Pemerintah Belanda menegaskan bahwa sejauh ini belum ada indikasi tekanan eksternal terhadap tersangka yang berhubungan dengan kelompok peretas Rusia.

Kesimpulan dari Peningkatan Ancaman Siber dari COLDRIVER

Perkembangan terbaru dari malware COLDRIVER menandai babak baru dalam evolusi ancaman siber yang didukung negara. Dengan munculnya NOROBOT, YESROBOT, dan MAYBEROBOT, kelompok ini menunjukkan kemampuan adaptasi yang cepat dan strategi yang semakin halus dalam menghindari deteksi.

Langkah-langkah agresif seperti penggunaan umpan ClickFix, eksploitasi PowerShell, serta pembaruan cepat pasca-publikasi menjadikan COLDRIVER sebagai salah satu aktor siber paling berbahaya dan adaptif di tahun 2025.

Kampanye ini sekaligus menegaskan bahwa di era modern, perang siber tidak lagi hanya terjadi antarnegara, melainkan juga melibatkan jaringan kriminal lintas batas dengan kemampuan teknis tinggi dan tujuan intelijen yang kompleks.

UTA0388: Kampanye Siber Pro-China yang Gunakan ChatGPT dan GOVERSHELL untuk Serangan Spear-Phishing Global

Kelompok ancaman siber yang berafiliasi dengan China, dikenal dengan kode UTA0388, menjadi sorotan dunia keamanan digital setelah terungkap melancarkan kampanye spear-phishing internasional yang menyasar organisasi di Amerika Utara, Asia, dan Eropa. Kampanye ini menggunakan malware canggih berbasis bahasa pemrograman Go yang dikenal dengan nama GOVERSHELL, menjadikannya salah satu operasi spionase siber paling kompleks yang terdeteksi sepanjang 2025.

Menurut laporan dari firma keamanan Volexity, pesan-pesan phishing yang pertama kali diamati dibuat sangat spesifik dan tampak sah, seolah-olah dikirim oleh peneliti atau analis senior dari organisasi profesional. Namun, organisasi tersebut sepenuhnya palsu. Tujuannya jelas: mengelabui target agar mengklik tautan berbahaya yang mengarah ke arsip berisi muatan malware. Pendekatan personal ini memperlihatkan kemampuan tinggi UTA0388 dalam rekayasa sosial (social engineering), memanfaatkan kepercayaan manusia untuk menembus lapisan pertahanan siber perusahaan.

Evolusi Serangan: Dari Cloud Hosting hingga Rapport-Building Phishing

Dalam fase awal, pelaku UTA0388 menyebarkan tautan phishing melalui layanan cloud populer seperti Netlify, Sync, dan OneDrive, serta melalui infrastruktur milik mereka sendiri. Ketika korban mengakses tautan tersebut, sistem mereka tanpa sadar mengunduh arsip berformat ZIP atau RAR yang berisi file DLL jahat. File ini kemudian dijalankan secara diam-diam menggunakan teknik DLL side-loading, metode yang sering dipakai untuk mem-bypass deteksi antivirus dan mengeksekusi backdoor tanpa menarik perhatian pengguna.

Namun, seiring waktu, metode UTA0388 berkembang menjadi lebih rumit. Mereka mulai menerapkan strategi rapport-building phishing, yaitu membangun hubungan dengan target terlebih dahulu—baik melalui email, forum, atau platform profesional—sebelum akhirnya mengirimkan tautan berbahaya. Teknik ini membuat serangan mereka tampak lebih meyakinkan dan jauh lebih sulit dikenali oleh sistem keamanan konvensional.

Malware GOVERSHELL: Senjata Utama dalam Operasi Siber UTA0388

Inti dari seluruh kampanye ini adalah malware GOVERSHELL, sebuah backdoor yang dikembangkan dengan bahasa Go (Golang). Menurut temuan Volexity, GOVERSHELL merupakan penerus dari malware C++ lama bernama HealthKick, dan saat ini telah ditemukan dalam lima varian berbeda yang masing-masing memiliki fungsi unik:

1. HealthKick (April 2025): Menjalankan perintah melalui cmd.exe.

2. TE32 (Juni 2025): Mengeksekusi perintah secara langsung lewat PowerShell reverse shell.

3. TE64 (Juli 2025): Menggunakan PowerShell untuk mengumpulkan informasi sistem dan menjalankan perintah dinamis.

4. WebSocket (Juli 2025 pertengahan): Mengirim perintah PowerShell dan memiliki sub-command “update” yang belum diaktifkan.

5. Beacon (September 2025): Mampu menyesuaikan interval polling, merandomisasinya, dan menjalankan PowerShell secara native.

Setiap varian menunjukkan bahwa GOVERSHELL terus dikembangkan secara aktif. Bahkan, dalam beberapa kasus, malware ini dapat memodifikasi perilakunya secara dinamis tergantung pada sistem yang diserang.

Penyalahgunaan Layanan Sah dan Infrastruktur Email Terenkripsi

Serangan UTA0388 tidak hanya mengandalkan malware berteknologi tinggi. Mereka juga menyalahgunakan layanan dan platform sah untuk menyamarkan aktivitas mereka. Arsip berbahaya kerap diunggah ke layanan berbagi file seperti Netlify, Sync, dan OneDrive, sementara email pengirim sering berasal dari Proton Mail, Microsoft Outlook, dan Gmail—platform populer yang memiliki reputasi aman. Strategi ini mempersulit deteksi otomatis oleh sistem keamanan karena domain dan penyedia layanan yang digunakan terlihat sah di permukaan.

Selain itu, aktivitas UTA0388 tumpang tindih dengan kelompok lain yang dilacak oleh Proofpoint dengan nama UNK_DropPitch, menandakan adanya kemungkinan koordinasi atau pertukaran infrastruktur antar kelompok pro-China. 

Pemanfaatan ChatGPT: Automasi Kampanye dan Konten Phishing Multibahasa

Hal yang paling mengkhawatirkan dari seluruh operasi ini adalah penggunaan ChatGPT oleh kelompok UTA0388. Laporan terbaru menyebutkan bahwa pelaku menggunakan model bahasa besar (LLM) untuk membuat konten phishing dalam berbagai bahasa—termasuk Inggris, Mandarin, dan Jepang—serta untuk membantu menulis skrip berbahaya dan mencari panduan instalasi alat open-source seperti nuclei dan fscan.

OpenAI telah mengonfirmasi bahwa akun-akun ChatGPT yang digunakan untuk tujuan ini sudah diblokir, namun kasus ini membuka mata dunia terhadap potensi penyalahgunaan kecerdasan buatan dalam operasi siber. Indikasi otomatisasi juga terlihat pada koherensi pesan yang buruk dan persona fiktif yang diciptakan tanpa keterlibatan manusia nyata. 

Target Geopolitik dan Dampak Regional

Analisis Volexity menunjukkan bahwa sasaran utama dari kampanye ini memiliki keterkaitan dengan isu geopolitik Asia, terutama Taiwan. Serangan UTA0388 tampaknya dirancang untuk mengumpulkan intelijen strategis dan politik, bukan sekadar mencuri data finansial. Hal ini sejalan dengan pola aktivitas kelompok siber pro-China lainnya yang berfokus pada pengawasan dan pengaruh geopolitik regional.

Dalam laporan terpisah, StrikeReady Labs juga mengungkap bahwa kampanye siber serupa—yang diduga masih terkait dengan jaringan pro-China—telah menargetkan departemen penerbangan pemerintah Serbia, serta lembaga di Hungaria, Belgia, Italia, dan Belanda. Serangan tersebut menggunakan metode phishing serupa dengan halaman verifikasi Cloudflare palsu yang mengarahkan korban untuk mengunduh arsip ZIP berisi Windows shortcut (LNK) yang mengeksekusi malware PlugX.

Kampanye UTA0388 menjadi contoh nyata evolusi serangan siber modern yang menggabungkan rekayasa sosial, eksploitasi infrastruktur cloud, dan kecerdasan buatan (AI) untuk mencapai efisiensi tinggi. Penggunaan ChatGPT dalam menciptakan konten phishing multibahasa memperlihatkan bagaimana AI kini menjadi alat baru dalam operasi spionase digital.

Dengan terus berkembangnya varian GOVERSHELL dan meningkatnya otomatisasi serangan, organisasi perlu memperkuat deteksi email berlapis, analisis perilaku endpoint, serta pemantauan komunikasi keluar (outbound monitoring) untuk mendeteksi anomali sekecil apa pun. Dalam era di mana AI bisa digunakan untuk tujuan destruktif, kesiapan dan kewaspadaan menjadi benteng utama melawan ancaman seperti UTA0388.

EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

Para peneliti keamanan siber memperingatkan tentang kampanye malware global yang menggunakan alat-alat kecerdasan buatan (AI) dan perangkat lunak produktivitas palsu untuk menyusup ke sistem organisasi di seluruh dunia. Berdasarkan laporan Trend Micro, kampanye ini menargetkan berbagai wilayah, termasuk Eropa, Amerika, serta kawasan Asia, Timur Tengah, dan Afrika (AMEA), dengan sektor manufaktur, pemerintahan, kesehatan, teknologi, dan ritel menjadi yang paling terdampak. Negara-negara seperti India, Amerika Serikat, Prancis, Italia, Brasil, Jerman, Inggris, Norwegia, Spanyol, dan Kanada mencatat infeksi terbanyak, menunjukkan bahwa ancaman ini bersifat global.

Kampanye ini, yang diberi kode nama EvilAI oleh Trend Micro, menandai kemampuan luar biasa para aktor ancaman dalam mengaburkan garis antara perangkat lunak asli dan palsu. Malware ini disisipkan dalam aplikasi yang tampak sah seperti AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister, dan Tampered Chef. Menurut para peneliti, serangan ini menggunakan sertifikat digital dari perusahaan sementara untuk membuat aplikasi terlihat resmi, bahkan ketika sertifikat lama sudah dicabut, sehingga sulit terdeteksi oleh pengguna maupun sistem keamanan.

Tujuan akhir dari kampanye EvilAI adalah melakukan rekognisi mendalam, mengekstraksi data browser sensitif, serta menjaga komunikasi terenkripsi waktu nyata dengan server command-and-control (C2). Malware ini memanfaatkan berbagai metode propagasi, termasuk situs web yang meniru portal vendor, iklan berbahaya, manipulasi SEO, dan tautan unduhan yang dipromosikan di forum maupun media sosial. Fungsi utamanya adalah sebagai stager, memungkinkan akses awal, mempertahankan keberadaan di sistem yang terinfeksi, dan menyiapkan sistem untuk muatan tambahan, sambil memetakan perangkat lunak keamanan yang terpasang.

Lebih lanjut, analisis G DATA menunjukkan bahwa pengembang di balik OneStart, ManualFinder, dan AppSuite menggunakan infrastruktur server yang sama untuk mendistribusikan dan mengonfigurasi program-program ini. Malware seperti BaoLoader, yang dipakai sebagai komponen utama kampanye ini, berperan sebagai backdoor untuk mengeksekusi perintah apa pun pada sistem yang terinfeksi, sering kali digunakan untuk penipuan iklan. Sementara itu, TamperedChef awalnya dikenal sebagai aplikasi resep yang tampak aman, namun sebenarnya menjalankan fungsionalitas backdoor yang sama.

Eksploitasi malware ini memanfaatkan kerangka NeutralinoJS untuk mengeksekusi kode JavaScript secara tersembunyi, memungkinkan akses ke sistem berkas, proses, dan komunikasi jaringan tanpa terdeteksi. Teknik lain termasuk penggunaan Unicode homoglyphs untuk menyembunyikan payload dalam respons API yang tampak sah, mempersulit pendeteksian berbasis string atau signature. Keberadaan beberapa penerbit sertifikat digital di berbagai sampel menunjukkan kemungkinan adanya malware-as-a-service atau pasar sertifikat digital yang memfasilitasi distribusi skala besar.

EvilAI menjadi peringatan nyata tentang evolusi metode distribusi malware modern. Penyalahgunaan aplikasi yang tampak sah, kode digital yang resmi, dan teknik penyamaran canggih memungkinkan malware ini melewati pertahanan titik akhir, mengeksploitasi kepercayaan pengguna, dan menyusup ke jaringan organisasi tanpa disadari. Para profesional keamanan menekankan pentingnya deteksi dini, validasi sertifikat, serta pemantauan perilaku aplikasi untuk mencegah kerugian finansial, reputasi, dan kebocoran data yang luas.