Operasi Spionase Siber Diduga Berbasis China Targetkan Militer Asia Tenggara Sejak 2020

Sebuah operasi spionase siber yang diduga berasal dari China dilaporkan menargetkan organisasi militer di kawasan Asia Tenggara dalam sebuah kampanye yang diyakini telah berlangsung setidaknya sejak tahun 2020. Aktivitas tersebut diidentifikasi oleh tim peneliti keamanan dari Palo Alto Networks Unit 42 yang melacaknya sebagai sebuah klaster ancaman bernama CL-STA-1087. Dalam penamaan ini, “CL” merujuk pada cluster aktivitas, sementara “STA” menunjukkan indikasi motivasi yang berkaitan dengan operasi yang didukung oleh negara.

Menurut para peneliti keamanan Lior Rochberger dan Yoav Zemah, operasi ini tidak menunjukkan pola pencurian data dalam skala besar seperti yang sering terlihat pada serangan siber oportunistik. Sebaliknya, aktivitasnya menunjukkan pendekatan yang sangat terarah dan penuh kesabaran operasional. Para pelaku terlihat secara aktif mencari dan mengumpulkan file yang sangat spesifik, terutama yang berkaitan dengan kemampuan militer, struktur organisasi militer, serta berbagai bentuk kerja sama antara negara-negara di Asia Tenggara dengan angkatan bersenjata Barat.

Pendekatan semacam ini sering kali menjadi indikator kuat dari operasi Advanced Persistent Threat atau APT. Serangan APT biasanya dirancang untuk mempertahankan akses jangka panjang pada sistem target dengan tujuan pengumpulan intelijen secara berkelanjutan. Dalam kampanye yang dianalisis oleh Unit 42 ini, para peneliti menemukan sejumlah karakteristik yang umum ditemukan pada operasi APT, termasuk metode distribusi malware yang dirancang secara hati-hati, teknik penghindaran deteksi terhadap sistem keamanan, infrastruktur operasi yang stabil, serta penggunaan payload khusus yang dirancang untuk mempertahankan akses tidak sah dalam jangka waktu lama.

Beberapa alat yang digunakan oleh pelaku dalam aktivitas ini mencakup backdoor bernama AppleChris dan MemFun, serta alat pengambil kredensial yang disebut Getpass. Ketiga komponen ini memainkan peran berbeda dalam rantai serangan, mulai dari mempertahankan akses jarak jauh hingga mengumpulkan informasi autentikasi yang dapat digunakan untuk memperluas akses ke sistem lain di dalam jaringan yang telah disusupi.

Unit 42 pertama kali mendeteksi aktivitas mencurigakan tersebut setelah mengidentifikasi eksekusi skrip PowerShell yang tidak biasa. Skrip tersebut dirancang untuk memasuki kondisi tidur selama enam jam sebelum akhirnya membuat koneksi reverse shell ke server command-and-control yang dikendalikan oleh pelaku serangan. Teknik penundaan eksekusi seperti ini sering digunakan dalam operasi spionase siber untuk menghindari deteksi oleh sistem keamanan otomatis yang biasanya hanya memantau aktivitas dalam periode waktu terbatas.

Meskipun aktivitas berbahaya telah dianalisis secara rinci, metode awal yang digunakan untuk mendapatkan akses ke jaringan target masih belum diketahui secara pasti. Namun setelah akses awal berhasil diperoleh, pelaku terlihat melakukan pergerakan lateral di dalam jaringan korban sebelum menyebarkan berbagai varian malware AppleChris pada endpoint yang berbeda. Penyebaran ini dilakukan untuk mempertahankan keberlanjutan akses sekaligus menghindari deteksi berbasis tanda tangan pada sistem keamanan tradisional.

Dalam tahap eksplorasi data, para penyerang menunjukkan minat khusus terhadap berbagai dokumen yang berkaitan dengan aktivitas militer resmi. Pencarian yang dilakukan oleh pelaku mencakup catatan pertemuan resmi, aktivitas militer bersama, serta evaluasi mendetail mengenai kemampuan operasional organisasi militer yang menjadi target. Selain itu, para peneliti juga menemukan bahwa pelaku secara aktif mencari informasi yang berkaitan dengan struktur organisasi militer dan strategi operasional, termasuk sistem command, control, communications, computers, and intelligence atau yang dikenal sebagai C4I.

Backdoor AppleChris dan MemFun memiliki mekanisme komunikasi yang dirancang untuk menyembunyikan alamat server pengendali yang sebenarnya. Kedua malware tersebut memanfaatkan akun bersama pada platform Pastebin sebagai dead drop resolver, sebuah teknik yang memungkinkan malware mengambil alamat command-and-control yang sebenarnya dari data yang telah dienkode dalam format Base64. Pendekatan ini membantu pelaku mengaburkan jejak infrastruktur mereka dan mempermudah perubahan alamat server tanpa perlu memperbarui malware yang telah disebarkan ke sistem target.

Salah satu varian AppleChris juga diketahui menggunakan layanan penyimpanan cloud Dropbox untuk mengambil informasi alamat server command-and-control. Namun metode berbasis Pastebin tetap digunakan sebagai mekanisme cadangan apabila metode utama gagal. Menurut analisis Unit 42, beberapa entri Pastebin yang digunakan dalam operasi ini telah ada sejak September 2020, yang menunjukkan bahwa infrastruktur kampanye tersebut telah dipersiapkan dan dipertahankan selama beberapa tahun.

AppleChris sendiri diluncurkan melalui teknik yang dikenal sebagai DLL hijacking. Setelah aktif, malware ini akan menghubungi server command-and-control untuk menerima berbagai instruksi dari operator. Kemampuan yang dimiliki oleh backdoor ini mencakup enumerasi drive pada sistem korban, penelusuran direktori, pengunggahan dan pengunduhan file, penghapusan data, enumerasi proses, eksekusi remote shell, serta pembuatan proses secara diam-diam di latar belakang.

Peneliti juga mengidentifikasi varian lain dari tunneler yang merupakan evolusi dari versi sebelumnya. Versi terbaru ini hanya mengandalkan Pastebin untuk mendapatkan alamat server command-and-control dan memperkenalkan kemampuan proxy jaringan yang lebih canggih. Fitur tersebut memungkinkan malware untuk merutekan lalu lintas komunikasi melalui sistem yang telah terinfeksi, sehingga mempersulit proses pelacakan aktivitas oleh tim keamanan.

Untuk menghindari deteksi oleh sistem keamanan otomatis, beberapa varian malware dalam kampanye ini juga menerapkan teknik sandbox evasion. Pada tahap eksekusi, malware menggunakan mekanisme penundaan waktu sebelum menjalankan fungsi utamanya. Varian dalam bentuk executable diketahui menunggu sekitar 30 detik sebelum melanjutkan aktivitas, sementara varian DLL menunggu hingga 120 detik. Pendekatan ini dirancang untuk melewati jendela pemantauan yang biasanya digunakan oleh sandbox otomatis untuk menganalisis perilaku malware.

Sementara itu, malware MemFun memiliki arsitektur yang lebih kompleks dibandingkan AppleChris. Eksekusinya dimulai melalui rantai infeksi multi-tahap yang melibatkan loader awal yang menyuntikkan shellcode. Shellcode tersebut kemudian menjalankan downloader berbasis memori yang bertugas mengambil konfigurasi command-and-control dari Pastebin serta berkomunikasi dengan server pengendali untuk mendapatkan modul tambahan dalam bentuk file DLL.

Karena file DLL tersebut diunduh langsung dari server command-and-control saat runtime, operator serangan dapat dengan mudah mengganti payload tanpa perlu memodifikasi komponen awal malware. Kemampuan ini menjadikan MemFun sebagai platform malware modular yang fleksibel, berbeda dengan AppleChris yang berfungsi lebih sebagai backdoor statis.

Eksekusi MemFun juga melibatkan teknik anti-forensik. Dropper awal melakukan sejumlah pemeriksaan untuk mendeteksi lingkungan analisis sebelum memodifikasi timestamp pembuatan file miliknya sendiri agar sesuai dengan waktu pembuatan direktori sistem Windows. Setelah itu, payload utama disuntikkan ke dalam memori proses yang ditangguhkan yang terkait dengan “dllhost.exe” menggunakan teknik yang dikenal sebagai process hollowing.

Dengan menjalankan dirinya di dalam proses Windows yang sah, malware tersebut dapat beroperasi tanpa menimbulkan artefak tambahan pada disk serta mengurangi kemungkinan terdeteksi oleh perangkat keamanan endpoint.

Selain backdoor dan loader malware, para penyerang juga menggunakan versi khusus dari alat populer Mimikatz yang dinamai Getpass. Alat ini dirancang untuk meningkatkan hak akses dan mencoba mengekstrak password dalam bentuk plaintext, hash NTLM, serta berbagai data autentikasi langsung dari memori proses “lsass.exe”, yang merupakan komponen penting dalam sistem autentikasi Windows.

Menurut Unit 42, keseluruhan operasi menunjukkan tingkat disiplin operasional yang tinggi. Para pelaku tidak terburu-buru mengekstraksi data secara besar-besaran, melainkan mempertahankan akses yang tidak aktif selama berbulan-bulan sambil secara selektif mengumpulkan informasi yang dianggap bernilai strategis. Pendekatan tersebut juga disertai dengan praktik keamanan operasional yang kuat untuk menjaga keberlanjutan kampanye dan meminimalkan risiko terdeteksi oleh pihak yang menjadi target.

Analisis terhadap kampanye CL-STA-1087 menunjukkan bagaimana operasi spionase siber modern semakin mengutamakan presisi dan ketahanan jangka panjang dibandingkan serangan yang berorientasi pada volume data. Dalam konteks keamanan siber global, aktivitas semacam ini memperlihatkan bagaimana infrastruktur militer dan organisasi strategis tetap menjadi target utama operasi pengumpulan intelijen berbasis siber.

England Hockey Selidiki Dugaan Kebocoran Data Setelah Geng Ransomware AiLock Klaim Mencuri 129GB Data

Organisasi pengatur olahraga hoki lapangan di Inggris, England Hockey, tengah melakukan penyelidikan terhadap dugaan insiden keamanan data setelah kelompok ransomware AiLock mencantumkan organisasi tersebut sebagai korban dalam situs kebocoran data mereka. Kelompok peretas tersebut mengklaim telah mencuri sekitar 129 gigabyte data dari sistem organisasi dan mengancam akan mempublikasikan file yang dicuri jika tuntutan tebusan tidak dipenuhi.

Klaim tersebut pertama kali muncul ketika nama England Hockey dipublikasikan dalam portal kebocoran milik AiLock, sebuah situs yang digunakan oleh kelompok ransomware untuk menekan korban agar melakukan negosiasi pembayaran. Dalam banyak kasus ransomware modern, publikasi nama organisasi di situs tersebut menjadi tahap awal dari strategi pemerasan yang dirancang untuk meningkatkan tekanan terhadap korban sebelum data benar-benar dipublikasikan.

England Hockey menyatakan bahwa mereka telah mengetahui klaim tersebut dan langsung memprioritaskan penyelidikan internal untuk memahami apa yang sebenarnya terjadi. Organisasi tersebut juga melibatkan pakar keamanan eksternal untuk membantu melakukan analisis terhadap potensi insiden yang terjadi di infrastruktur mereka. Dalam pernyataan resmi kepada media teknologi BleepingComputer, pihak organisasi menegaskan bahwa penyelidikan sedang berlangsung dan saat ini mereka masih mengumpulkan fakta terkait insiden tersebut.

Perwakilan England Hockey menyatakan bahwa mereka menyadari adanya klaim dari kelompok yang mengaku bertanggung jawab atas insiden tersebut. Menurut pernyataan tersebut, organisasi saat ini bekerja sama dengan spesialis keamanan eksternal untuk memahami implikasi dari klaim tersebut dan menilai apakah sistem mereka benar-benar mengalami pelanggaran keamanan. Selain itu, organisasi juga telah melibatkan otoritas terkait, termasuk aparat penegak hukum, sebagai bagian dari proses investigasi yang sedang berjalan.

England Hockey merupakan badan yang bertanggung jawab atas pengelolaan, regulasi, serta pengembangan olahraga hoki lapangan di Inggris. Organisasi ini mengawasi seluruh ekosistem olahraga tersebut, mulai dari partisipasi di tingkat komunitas hingga tim nasional elit yang mewakili negara dalam kompetisi internasional. Skala operasional organisasi ini cukup besar, dengan lebih dari 800 klub yang terdaftar di seluruh Inggris. Selain itu, terdapat sekitar 150.000 pemain klub yang terdaftar serta lebih dari 15.000 pelatih, wasit, dan pejabat pertandingan yang berada dalam sistem organisasi tersebut.

Dengan cakupan organisasi yang luas, potensi insiden keamanan data menjadi perhatian serius, terutama jika melibatkan informasi anggota, staf, atau mitra organisasi. Namun hingga saat ini, England Hockey belum mengonfirmasi apakah kebocoran data benar-benar terjadi. Organisasi tersebut menyatakan bahwa mereka belum dapat memberikan rincian lebih lanjut mengenai insiden yang sedang diselidiki karena proses investigasi masih berlangsung.

Dalam pernyataan resminya, England Hockey menegaskan bahwa keamanan data merupakan prioritas utama bagi organisasi. Mereka menyatakan bahwa salah satu fokus utama dalam penyelidikan yang sedang berlangsung adalah menentukan apakah ada data yang benar-benar terdampak oleh insiden tersebut dan, jika ada, jenis informasi apa yang mungkin terlibat. Penilaian tersebut menjadi langkah penting sebelum organisasi dapat memberikan informasi lebih lanjut kepada publik atau pihak yang berpotensi terdampak.

Kelompok ransomware AiLock yang mengklaim bertanggung jawab atas dugaan serangan tersebut tergolong sebagai operasi ransomware yang relatif baru. Kelompok ini pertama kali didokumentasikan oleh peneliti keamanan siber dari perusahaan Zscaler pada 1 April 2025. Dalam analisis mereka, para peneliti mencatat bahwa AiLock menggunakan taktik pemerasan yang canggih dan secara khusus menargetkan jaringan perusahaan atau organisasi berskala besar.

Salah satu strategi yang digunakan oleh kelompok ini adalah pendekatan pemerasan ganda atau double extortion. Dalam model serangan ini, pelaku tidak hanya mengenkripsi data korban tetapi juga mencuri salinan data tersebut sebelum proses enkripsi dilakukan. Dengan cara ini, korban menghadapi dua ancaman sekaligus: kehilangan akses terhadap sistem internal serta risiko kebocoran data yang dapat dipublikasikan secara terbuka jika tuntutan tebusan tidak dipenuhi.

AiLock diketahui memanfaatkan potensi pelanggaran hukum privasi sebagai alat tekanan tambahan dalam proses negosiasi dengan korban. Dalam praktiknya, kelompok ini biasanya memberikan waktu sekitar 72 jam kepada korban untuk merespons dan memulai proses negosiasi. Setelah tahap tersebut, korban diberi waktu hingga lima hari untuk melakukan pembayaran sebelum kelompok tersebut mulai mempublikasikan data yang mereka klaim telah dicuri. Ancaman tambahan yang sering disertakan adalah penghancuran alat pemulihan data, yang dapat semakin mempersulit proses pemulihan sistem korban tanpa membayar tebusan.

Analisis teknis sebelumnya yang dilakukan oleh peneliti dari S2W Talon, Huiseong Yang, menunjukkan bahwa ransomware yang digunakan oleh kelompok ini memanfaatkan algoritma enkripsi ChaCha20 dan NTRUEncrypt untuk mengunci file korban. Setelah proses enkripsi selesai, file yang terdampak biasanya diberi ekstensi tambahan “.AILock”, yang menjadi indikator bahwa sistem telah terkena serangan ransomware dari kelompok tersebut. Selain itu, catatan tebusan biasanya ditempatkan di setiap direktori yang berisi file yang telah dienkripsi, memberikan instruksi kepada korban mengenai langkah yang harus diambil untuk memulihkan akses ke data mereka.

Meskipun klaim dari kelompok AiLock telah dipublikasikan, hingga saat ini England Hockey belum mengonfirmasi bahwa insiden kebocoran data benar-benar terjadi. Proses investigasi masih berlangsung dan organisasi belum mengungkapkan apakah sistem internal mereka memang berhasil ditembus oleh pelaku. Dalam situasi seperti ini, publikasi klaim oleh kelompok ransomware tidak selalu berarti bahwa semua data yang disebutkan benar-benar telah dicuri, meskipun kasus serupa sebelumnya menunjukkan bahwa klaim tersebut sering kali memiliki dasar yang nyata. 

Sementara penyelidikan berlangsung, pihak terkait di Inggris mengingatkan para pemain dan anggota komunitas hoki untuk tetap waspada terhadap aktivitas digital yang mencurigakan. Dalam beberapa insiden kebocoran data sebelumnya, pelaku sering memanfaatkan informasi yang diperoleh dari sistem korban untuk meluncurkan serangan lanjutan, seperti phishing atau penyalahgunaan akun. Komunikasi yang tidak diminta, terutama yang meminta informasi pribadi atau kredensial login, disarankan untuk diperlakukan dengan hati-hati.

Kasus ini menjadi contoh lain dari bagaimana organisasi olahraga dan lembaga non-komersial juga dapat menjadi target serangan ransomware, terutama jika mereka mengelola basis data anggota dalam jumlah besar. Infrastruktur digital yang digunakan untuk mengelola registrasi klub, pemain, pelatih, dan staf operasional sering kali menyimpan berbagai jenis informasi yang bernilai bagi pelaku kejahatan siber.

Perkembangan penyelidikan terhadap dugaan insiden ini masih terus berlangsung. Hingga saat ini, England Hockey belum memberikan konfirmasi apakah mereka telah menerima tuntutan tebusan secara langsung dari kelompok AiLock atau apakah data yang diklaim telah dicuri benar-benar berada di tangan pelaku. Hasil investigasi yang sedang berjalan diharapkan dapat memberikan kejelasan mengenai skala insiden serta langkah-langkah yang akan diambil untuk melindungi sistem dan data yang berada dalam pengelolaan organisasi tersebut.

Malware Perbankan Baru “VENON” Targetkan Pengguna Brasil, Ditulis dalam Rust dan Gunakan Teknik Evasion Canggih

Peneliti keamanan siber mengungkap kemunculan malware perbankan baru yang menargetkan pengguna di Brasil dan menunjukkan perubahan signifikan dalam lanskap ancaman di kawasan Amerika Latin. Malware tersebut diberi nama VENON oleh perusahaan keamanan siber Brasil, ZenoX, setelah pertama kali terdeteksi pada bulan lalu. Yang membuat temuan ini menonjol bukan hanya karena fungsinya sebagai trojan perbankan, tetapi juga karena bahasa pemrograman yang digunakan dalam pengembangannya. Berbeda dari banyak malware regional yang selama ini ditulis menggunakan Delphi, VENON dibangun menggunakan Rust, sebuah bahasa pemrograman modern yang dikenal memiliki kompleksitas teknis lebih tinggi.

Kemunculan VENON menunjukkan evolusi teknik yang digunakan oleh pelaku kejahatan siber yang menargetkan sektor keuangan di Amerika Latin. Selama bertahun-tahun, ekosistem malware perbankan di kawasan ini didominasi oleh keluarga trojan yang memiliki arsitektur serupa dan sering kali berbagi komponen kode. Contoh yang paling dikenal termasuk Grandoreiro, Mekotio, dan Coyote, yang telah lama digunakan untuk mencuri kredensial perbankan melalui teknik manipulasi antarmuka dan pengawasan aktivitas pengguna. Analisis yang dilakukan oleh ZenoX menemukan bahwa VENON memiliki pola perilaku yang konsisten dengan keluarga malware tersebut, terutama dalam mekanisme overlay perbankan, pemantauan jendela aplikasi aktif, serta teknik hijacking shortcut berbasis file LNK.

Meskipun menunjukkan kesamaan perilaku dengan trojan perbankan lain di kawasan tersebut, para peneliti tidak menemukan keterkaitan langsung antara VENON dengan kelompok atau kampanye yang sebelumnya telah didokumentasikan. Namun, analisis terhadap versi awal artefak malware yang diperkirakan berasal dari Januari 2026 memberikan petunjuk menarik tentang proses pengembangannya. Dalam artefak tersebut ditemukan jalur direktori lengkap dari lingkungan pengembangan yang digunakan oleh pembuat malware, yang berulang kali merujuk pada nama pengguna Windows “byst4”, seperti dalam path “C:\Users\byst4\…”. Temuan ini memberikan indikasi bahwa artefak tersebut kemungkinan dikompilasi langsung dari lingkungan pengembangan pribadi pelaku.

Struktur kode Rust yang digunakan dalam malware ini juga memunculkan hipotesis baru mengenai metode pengembangannya. Menurut ZenoX, pola kode menunjukkan bahwa pengembang kemungkinan sudah familiar dengan kemampuan trojan perbankan Amerika Latin yang telah ada sebelumnya. Namun, mereka tampaknya memanfaatkan teknologi generative AI untuk menulis ulang dan memperluas fungsionalitas malware tersebut dalam bahasa Rust. Penggunaan Rust pada tingkat kompleksitas yang teramati dalam VENON menunjukkan tingkat pengalaman teknis yang cukup tinggi, mengingat bahasa ini umumnya memerlukan pemahaman mendalam tentang manajemen memori dan arsitektur perangkat lunak.

Distribusi VENON dilakukan melalui rantai infeksi yang relatif kompleks dan dirancang untuk menghindari deteksi. Peneliti menemukan bahwa malware ini menggunakan teknik DLL side-loading, sebuah metode yang memanfaatkan aplikasi sah untuk memuat pustaka DLL berbahaya tanpa memicu kecurigaan sistem keamanan. Dalam skenario serangan yang diamati, korban diduga terlebih dahulu diarahkan melalui teknik rekayasa sosial yang mendorong mereka untuk mengunduh arsip ZIP berisi payload malware. Proses tersebut kemungkinan dijalankan melalui skrip PowerShell yang mengeksekusi komponen berbahaya setelah file diunduh.

Setelah DLL berbahaya dijalankan, malware tidak langsung memulai aktivitas berbahaya. Sebaliknya, ia terlebih dahulu menjalankan serangkaian teknik penghindaran deteksi yang dirancang untuk memastikan bahwa lingkungan eksekusi bukan merupakan sandbox atau sistem analisis keamanan. Peneliti mencatat bahwa VENON menerapkan setidaknya sembilan teknik evasion sebelum melanjutkan ke tahap berikutnya. Teknik tersebut meliputi pemeriksaan anti-sandbox, penggunaan syscall tidak langsung untuk menghindari pemantauan sistem, serta bypass terhadap Event Tracing for Windows (ETW) dan Antimalware Scan Interface (AMSI). Pendekatan ini memungkinkan malware untuk menghindari banyak mekanisme deteksi yang biasanya digunakan dalam solusi keamanan endpoint.

Setelah melewati tahap evasion, VENON menghubungi sebuah URL yang dihosting pada layanan Google Cloud Storage untuk mengambil konfigurasi operasionalnya. Malware kemudian memasang scheduled task pada sistem korban guna mempertahankan persistensi. Selain itu, ia juga membangun koneksi WebSocket ke server command-and-control (C2), yang memungkinkan operator mengontrol aktivitas malware secara jarak jauh. Komunikasi ini menjadi jalur utama bagi pelaku untuk mengirim instruksi tambahan atau memperbarui konfigurasi target serangan.

Analisis terhadap komponen DLL juga mengungkap keberadaan dua blok skrip Visual Basic yang berfungsi untuk menjalankan mekanisme hijacking shortcut. Mekanisme ini secara khusus menargetkan aplikasi perbankan milik Itaú, salah satu institusi keuangan terbesar di Brasil. Teknik tersebut bekerja dengan mengganti shortcut sistem yang sah dengan versi yang telah dimodifikasi. Ketika korban mencoba membuka aplikasi perbankan melalui shortcut tersebut, mereka diarahkan ke halaman web yang berada di bawah kendali pelaku ancaman. Dengan cara ini, korban dapat tertipu untuk memasukkan kredensial login mereka pada antarmuka palsu yang tampak identik dengan layanan resmi.

Yang menarik, malware ini juga memiliki kemampuan untuk membatalkan modifikasi yang telah dilakukan sebelumnya. Fitur uninstall tersebut memungkinkan operator mengembalikan shortcut yang telah dimodifikasi ke kondisi semula. Keberadaan fungsi ini menunjukkan bahwa pelaku dapat menghapus jejak operasi mereka secara jarak jauh jika diperlukan, sehingga mengurangi kemungkinan terdeteksi oleh korban atau analis keamanan.

Secara keseluruhan, VENON dirancang untuk menargetkan hingga 33 institusi keuangan dan platform aset digital. Malware memantau judul jendela aplikasi dan domain browser aktif untuk menentukan apakah pengguna sedang mengakses layanan yang menjadi target. Aktivitas berbahaya hanya diaktifkan ketika aplikasi atau situs tertentu terbuka, sebuah strategi yang bertujuan memaksimalkan efektivitas pencurian kredensial. Ketika kondisi tersebut terpenuhi, malware akan menampilkan overlay palsu yang dirancang untuk meniru antarmuka layanan resmi, sehingga korban tidak menyadari bahwa data login mereka sedang dicuri.

Pengungkapan VENON terjadi di tengah meningkatnya aktivitas malware yang menargetkan pengguna di Brasil melalui berbagai platform komunikasi populer. Dalam kampanye terpisah, pelaku ancaman dilaporkan memanfaatkan popularitas WhatsApp untuk menyebarkan worm bernama SORVEPOTEL melalui versi web desktop dari aplikasi tersebut. Serangan ini memanfaatkan sesi percakapan yang sebelumnya telah diautentikasi untuk mengirim pesan berisi umpan berbahaya langsung kepada korban.

Dalam salah satu skenario yang dianalisis oleh peneliti dari Blackpoint Cyber, satu pesan WhatsApp yang dikirim melalui sesi yang telah dibajak cukup untuk memancing korban menjalankan rantai infeksi multi-tahap. Rantai tersebut pada akhirnya dapat menghasilkan pemasangan malware perbankan seperti Maverick, Casbaneiro, atau Astaroth pada sistem korban. Peneliti mencatat bahwa kombinasi antara alat otomasi lokal, driver browser tanpa pengawasan, serta runtime yang dapat ditulis oleh pengguna menciptakan lingkungan yang sangat permisif bagi penyebaran malware tersebut.

Kemunculan VENON menunjukkan bahwa ekosistem malware perbankan di Amerika Latin terus berevolusi, baik dari sisi teknik pengembangan maupun metode distribusi. Penggunaan bahasa pemrograman modern seperti Rust dan integrasi berbagai teknik evasion menunjukkan bahwa pelaku ancaman terus beradaptasi untuk menghindari mekanisme deteksi tradisional. Bagi peneliti keamanan dan organisasi keuangan, perkembangan ini menegaskan pentingnya pemantauan ancaman secara berkelanjutan serta peningkatan kemampuan deteksi terhadap malware generasi baru yang semakin kompleks.