Peneliti keamanan siber memperingatkan adanya kampanye search engine optimization (SEO) poisoning yang menargetkan pengguna berbahasa Mandarin dengan menyebarkan malware melalui situs perangkat lunak palsu. Ancaman ini pertama kali diungkap Fortinet FortiGuard Labs pada Agustus 2025. Penyerang menggunakan SEO plugins untuk memanipulasi peringkat pencarian Google, mendaftarkan domain tiruan yang menyerupai situs resmi, dan memikat korban agar mengunduh installer berbahaya.
Teknik Penyerang: Manipulasi SEO dan Domain Tiruan
Menurut peneliti Fortinet, Pei Han Liao, pelaku memanfaatkan bahasa yang meyakinkan serta substitusi karakter kecil pada nama domain untuk mengelabui pengguna. Situs palsu tersebut meniru aplikasi populer seperti DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp, dan WPS Office, lalu menyisipkan trojanized installer yang mengandung malware. “Installer yang digunakan bahkan memuat aplikasi asli sekaligus muatan berbahaya, sehingga sulit dideteksi korban,” kata Fortinet.
Di balik situs ini, terdapat skrip bernama nice.js yang mengontrol proses distribusi malware dalam beberapa tahap: memanggil tautan unduhan, mengurai data JSON, lalu mengarahkan korban ke URL installer berbahaya.
HiddenGh0st dan Winos (ValleyRAT): Evolusi Gh0st RAT
Kampanye ini men-deploy malware keluarga HiddenGh0st dan Winos (alias ValleyRAT), keduanya varian remote access trojan (RAT) populer Gh0st RAT. Penggunaan Winos dikaitkan dengan kelompok kejahatan siber Silver Fox (alias SwimSnake, The Great Thief of Valley, UTG-Q-1000, Void Arachne) yang diduga aktif sejak 2022.
Installer berbahaya memuat file DLL jahat “EnumW.dll” untuk menghindari deteksi, memicu inflasi memori, dan memperlambat alat analisis. Ada juga “vstdlib.dll” yang digunakan untuk mengekstrak payload utama sambil mengecek keberadaan antivirus 360 Total Security. Jika terdeteksi, malware menerapkan teknik TypeLib COM hijacking untuk bertahan. Jika tidak, ia membuat Windows shortcut menuju executable “insalivation.exe”. Tujuan akhirnya adalah men-sideload DLL “AIDE.dll” yang menjalankan tiga fungsi inti: Command-and-Control (C2), Heartbeat, dan Monitor – termasuk mencuri data, memantau proses, hingga meretas dompet kripto Ethereum dan Tether.
Kampanye Malware Kedua: kkRAT, FatalRAT, dan Abuse GitHub Pages
Tak hanya Fortinet, Zscaler ThreatLabz juga mengungkap kampanye serupa yang menargetkan pengguna Mandarin sejak Mei 2025. Kampanye ini menggunakan malware baru kkRAT, bersama Winos dan FatalRAT, melalui situs installer palsu yang meniru aplikasi seperti DingTalk dan di-host di GitHub Pages. Dengan cara ini, pelaku memanfaatkan reputasi platform terpercaya untuk distribusi malware.
kkRAT berbagi kesamaan kode dengan Gh0st RAT dan “Big Bad Wolf” (大灰狼), serta memakai protokol komunikasi terenkripsi setelah kompresi data. Fiturnya termasuk manipulasi clipboard untuk mengganti alamat dompet kripto dan pemasangan alat remote monitoring seperti Sunlogin dan GotoHTTP. Installer jahat ini juga meminta hak administrator, mendeteksi sandbox/VM, dan mematikan adapter jaringan untuk melemahkan antivirus.
Teknik BYOVD dan Target Antivirus Populer
Menariknya, malware ini menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk menonaktifkan antivirus, memanfaatkan kode dari proyek sumber terbuka RealBlindingEDR. Targetnya meliputi 360 Internet Security, 360 Total Security, HeroBravo System Diagnostics, Kingsoft Internet Security, dan QQ电脑管家. Setelah mematikan proses antivirus, malware membuat scheduled task dengan hak SYSTEM agar setiap login proses jahat tetap berjalan. Ia juga memodifikasi Registry Windows untuk menonaktifkan pemeriksaan jaringan pada 360 Total Security sebelum mengaktifkan kembali adapter jaringan.
Tahap selanjutnya, malware mengunduh file “2025.bin” yang memicu unduhan dua arsip ZIP – trx38.zip dan p.zip. Teknik DLL side-loading kembali digunakan untuk menjalankan payload terenkripsi di “longlq.cl”. Salah satu payload yang terungkap adalah kkRAT yang mampu screen capturing, remote desktop, eksekusi perintah shell, manajemen proses, enumerasi koneksi jaringan, hingga bertindak sebagai proxy SOCKS5.
Mengapa Ancaman Ini Berbahaya?
Dengan menggabungkan SEO poisoning, trojanized installers, GitHub abuse, dan BYOVD, pelaku kejahatan siber berhasil menciptakan serangan multi-lapis yang sulit dideteksi pengguna awam maupun organisasi. Bahkan hasil pencarian dengan ranking tinggi pun bisa berisi malware. “Kasus ini menekankan pentingnya memeriksa nama domain dengan teliti sebelum mengunduh perangkat lunak,” tutur Fortinet.
Cara Melindungi Diri dari SEO Poisoning dan Malware RAT
- Selalu unduh perangkat lunak hanya dari situs resmi dengan domain yang diverifikasi.
- Periksa ejaan domain (hindari karakter yang tampak mirip).
- Gunakan antivirus yang mutakhir dan aktifkan fitur real-time protection.
- Terapkan prinsip least privilege; jangan sembarang memberi hak administrator.
- Pantau clipboard saat melakukan transaksi kripto.
- Gunakan solusi keamanan jaringan yang mampu mendeteksi aktivitas C2 dan RAT.
Fenomena SEO poisoning yang menyebarkan HiddenGh0st, Winos, FatalRAT, dan kkRAT menandakan tren baru serangan siber yang semakin kompleks. Dengan memanfaatkan popularitas aplikasi terkemuka, manipulasi algoritma pencarian Google, dan penyamaran di platform terpercaya seperti GitHub, pelaku berhasil menjangkau target luas, khususnya pengguna berbahasa Mandarin. Edukasi, cyber hygiene, dan solusi keamanan canggih menjadi kunci untuk memutus rantai serangan semacam ini.
.png)
.png)
.png)
.png "Image by <a href=\"https://pixabay.com/users/krapalm-3557507/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1814556\">Prayad Kosasaeng</a> from <a href=\"https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1814556\">Pixabay</a>")
