Google melalui tim Threat Intelligence Group (GTIG) mengungkap temuan tiga keluarga malware baru yang dikembangkan oleh grup peretas asal Rusia bernama COLDRIVER. Ketiganya diberi nama NOROBOT, YESROBOT, dan MAYBEROBOT, yang menunjukkan peningkatan signifikan dalam kecepatan operasi dan kompleksitas serangan siber.
Menurut laporan yang dikutip dari The Hacker News, malware ini merupakan kelanjutan dari malware sebelumnya bernama LOSTKEYS yang pertama kali muncul pada Mei 2025. Google menyebut, hanya berselang lima hari setelah publikasi tentang LOSTKEYS, kelompok peretas tersebut langsung merilis varian baru dengan kemampuan yang lebih canggih.
“NOROBOT dan malware turunannya mengalami pengembangan konstan – awalnya disederhanakan untuk meningkatkan peluang penyebaran, lalu diperumit kembali dengan teknik kriptografi untuk menghindari deteksi,” jelas peneliti GTIG Wesley Shields.
Ketiga malware ini dikembangkan dalam bentuk rantai infeksi berlapis. Serangan dimulai melalui umpan berformat HTML bertajuk ClickFix lure bernama COLDCOPY, yang menipu pengguna untuk menjalankan perintah berbahaya melalui jendela Run di Windows, disamarkan sebagai verifikasi CAPTCHA palsu. Dari proses ini, file NOROBOT.dll akan dijalankan untuk mengunduh malware tahap berikutnya.
Dalam beberapa kasus, versi awal serangan menginstal backdoor berbasis Python bernama YESROBOT, sebelum akhirnya digantikan oleh MAYBEROBOT yang lebih fleksibel karena menggunakan PowerShell. Malware ini mampu menjalankan perintah melalui cmd.exe, mengunduh payload baru dari URL tertentu, dan mengeksekusi skrip tambahan di perangkat korban.
Google menilai perubahan cepat dari YESROBOT ke MAYBEROBOT menunjukkan reaksi darurat kelompok COLDRIVER setelah publikasi publik mengenai LOSTKEYS. Langkah tersebut dilakukan untuk mempertahankan kemampuan pengumpulan intelijen terhadap target bernilai tinggi seperti aktivis, lembaga nonpemerintah (NGO), dan penasihat kebijakan publik.
Baca juga: VirusTotal Ungkap 523 File SVG Berisi Malware yang Lolos Antivirus
GTIG mencatat bahwa malware jenis ini sangat mungkin ditujukan kepada individu atau organisasi yang sebelumnya telah menjadi korban phishing. Dengan pendekatan berlapis dan mekanisme pengelabuan yang semakin canggih, ancaman dari COLDRIVER menjadi tantangan serius bagi keamanan siber global.
Temuan ini menjadi peringatan bahwa kelompok peretas yang diduga berafiliasi dengan negara masih aktif mengembangkan cara baru untuk menembus sistem keamanan dan mencuri data sensitif. Google pun menyerukan agar lembaga pemerintahan, organisasi internasional, dan pengguna individu meningkatkan kewaspadaan terhadap serangan siber berbasis sosial engineering seperti verifikasi CAPTCHA palsu.
Leave a Comment