Pengguna Windows dibidik serangan Botnet "Tsundere"

JAKARTA (IndoTelko) - Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan botnet baru yang dibuat oleh aktor ancaman yang muncul kembali pada Juli 2025.

Penyerang menggunakan penginstal MSI yang disamarkan sebagai pengaturan palsu untuk gim populer, terutama gin tembak-menembak seperti 'Valorant', 'CS2', atau 'R6x', serta perangkat lunak lainnya. Botnet ini saat ini sedang berkembang dan menimbulkan ancaman aktif bagi pengguna Windows. Botnet ini telah terdeteksi oleh Kaspersky di Meksiko, Chili, Rusia, dan Kazakhstan.

Botnet Tsundere menggunakan pendekatan yang semakin populer dengan menggunakan kontrak pintar Web3 untuk menyimpan alamat perintah dan kontrol (C2), yang secara signifikan meningkatkan ketahanan infrastrukturnya. Panel C2-nya mendukung dua format distribusi: penginstal MSI dan skrip PowerShell dengan implan yang dibuat secara otomatis. Implan ini akan menginstal bot yang mampu mengeksekusi kode JavaScript yang diterima secara dinamis melalui saluran Web Socket terenkripsi dari C2, yang dapat menyebabkan eksekusi berbahaya dari kode yang dikirim oleh penyerang.

Botnet Tsundere menggunakan referensi tetap pada blockchain Ethereum, seperti dompet dan kontrak yang telah ditentukan. Mengubah server C2 hanya memerlukan satu transaksi yang memperbarui variabel status kontrak dengan alamat baru. Ekosistem botnet ini juga mencakup pasar terintegrasi dan panel kontrol yang dapat diakses melalui antarmuka yang sama.

Analisis ini menunjukkan dengan keyakinan tinggi bahwa pelaku ancaman di balik botnet Tsundere kemungkinan berbahasa Rusia, sebagaimana ditunjukkan oleh penggunaan bahasa Rusia dalam kode, sejalan dengan serangan sebelumnya yang terkait dengan pelaku yang sama. Penelitian ini juga menunjukkan adanya hubungan antara botnet Tsundere dan 123 Stealer yang diciptakan oleh 'koneko', yang ditawarkan di forum bawah tanah seharga $120.

Menurut pakar keamanan senior di Tim Riset dan Analisis Global Kaspersky, Lisandro Ubiedo, Tsundere menunjukkan betapa cepatnya penjahat siber beradaptasi: ini merupakan upaya baru oleh aktor ancaman yang diduga teridentifikasi untuk merombak perangkat mereka. Dengan beralih ke mekanisme Web3, infrastrukturnya menjadi jauh lebih fleksibel dan tangguh.

“Kami sudah melihat distribusi aktif melalui penginstal game palsu dan tautan ke aktivitas berbahaya yang telah diamati sebelumnya, sehingga pengembangan lebih lanjut oleh botnet ini sangat mungkin terjadi," katanya.

Berikut beberapa hal yang direkomendasikan Kaspersky :

•
Gunakan perangkat lunak berlisensi dan platform game resmi dari penerbit terverifikasi secara eksklusif. Praktik ini penting untuk melindungi perangkat Anda dari akses tidak sah oleh pelaku kejahatan siber.
•
Pasang solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan mengirimkan peringatan.
•
Hindari mengunduh berkas yang dapat dieksekusi dari sumber yang tidak dikenal atau tidak tepercaya.
•
Waspadai email phishing yang meminta Anda untuk memasang aplikasi dari situs yang tidak dikenal.
•
Patuhi praktik terbaik termasuk pembaruan perangkat lunak secara berkala, penerapan kata sandi yang kuat dan autentikasi dua faktor, serta pemantauan berkelanjutan terhadap tanda-tanda peretasan. (mas)