BISNISASIA.CO.ID, JAKARTA – Tim Riset dan Analisis Global Kaspersky (GReAT) mengidentifikasi kampanye spionase siber aktif bernama PassiveNeuron, yang menargetkan mesin Windows Server di berbagai lembaga pemerintahan, sektor keuangan, dan industri di wilayah Asia, Afrika, dan Amerika Latin. Aktivitas ini pertama kali terdeteksi pada Desember 2024 dan berlanjut hingga Agustus 2025.
Setelah enam bulan tidak aktif, kelompok ini kembali beroperasi dengan tiga alat utama, dua di antaranya belum pernah teridentifikasi sebelumnya, untuk mendapatkan dan mempertahankan akses ke jaringan target.
Tiga Alat Utama dalam Serangan PassiveNeuron
Kaspersky melaporkan bahwa kampanye PassiveNeuron menggunakan tiga komponen utama:
- Neursite, sebuah backdoor modular yang mampu mengumpulkan informasi sistem, mengelola proses aktif, dan merutekan lalu lintas jaringan melalui host yang telah disusupi, sehingga memungkinkan pergerakan lateral dalam jaringan internal.
- NeuralExecutor, sebuah implan berbasis .NET yang berfungsi mengirimkan muatan tambahan, serta mendukung berbagai metode komunikasi untuk memuat dan mengeksekusi rakitan .NET dari server perintah dan kontrol (C2).
- Cobalt Strike, kerangka kerja pengujian penetrasi yang sering disalahgunakan oleh pelaku ancaman untuk memperkuat kontrol terhadap sistem yang diretas.
Sampel yang ditemukan menunjukkan bahwa Neursite mampu berkomunikasi tidak hanya dengan server eksternal, tetapi juga dengan sistem internal yang sudah dikompromikan, memperluas cakupan infiltrasi dalam jaringan target.
Fokus Serangan pada Server Kritis
“PassiveNeuron menonjol karena fokusnya pada server yang disusupi, yang sering kali menjadi tulang punggung jaringan organisasi,” ujar Georgy Kucherin, Peneliti Keamanan di GReAT Kaspersky.
“Server yang terekspos ke internet merupakan target yang sangat menarik bagi kelompok ancaman persisten tingkat lanjut (APT), karena satu host yang disusupi dapat memberikan akses ke sistem kritikal. Oleh karena itu, penting untuk meminimalkan permukaan serangan dan terus memantau aplikasi server untuk mendeteksi serta menghentikan potensi infeksi,” tambahnya.
Indikasi Taktik dan Atribusi
Dalam sampel yang dianalisis, tim Kaspersky menemukan fungsi dengan nama berkarakter Cyrillic, yang diduga sengaja dimasukkan untuk menyesatkan analis keamanan. Artefak seperti ini memerlukan evaluasi mendalam dalam proses atribusi, karena dapat berfungsi sebagai sinyal palsu (false flag).
Berdasarkan taktik, teknik, dan prosedur (TTP) yang diamati, Kaspersky menilai dengan keyakinan rendah bahwa kampanye ini berkaitan dengan aktor ancaman berbahasa Mandarin.
Sebelumnya, pada 2024, Kaspersky juga telah mengidentifikasi aktivitas PassiveNeuron dan mencatat tingkat kecanggihan tinggi dari operasi sibernya.
Rekomendasi Keamanan dari Kaspersky
Untuk mencegah menjadi korban serangan siber bertarget — baik dari aktor ancaman baru maupun yang sudah dikenal — Kaspersky merekomendasikan langkah-langkah berikut:
- Gunakan intelijen ancaman (Threat Intelligence/TI) terbaru.
Akses Kaspersky Threat Intelligence Portal untuk mendapatkan wawasan serangan siber yang telah dikumpulkan selama lebih dari 20 tahun. - Tingkatkan keterampilan tim keamanan siber.
Manfaatkan pelatihan online Kaspersky yang dikembangkan oleh para ahli GReAT untuk menghadapi ancaman tingkat lanjut. - Implementasikan solusi EDR (Endpoint Detection and Response).
Gunakan Kaspersky Endpoint Detection and Response untuk deteksi, investigasi, dan remediasi insiden di tingkat titik akhir. - Adopsi solusi keamanan tingkat korporat.
Terapkan Kaspersky Anti Targeted Attack Platform untuk mendeteksi ancaman tingkat lanjut pada tahap awal di tingkat jaringan. - Perkuat kesadaran keamanan tim Anda.
Karena banyak serangan dimulai dari phishing atau rekayasa sosial, tingkatkan kesadaran melalui Kaspersky Automated Security Awareness Platform.
