Tim Riset dan Analisis Global Kaspersky (GReAT) telah mengungkap kampanye spionase siber PassiveNeuron yang sedang berlangsung, yang menargetkan sistem Windows Server di lembaga pemerintahan, keuangan, dan industri di seluruh Asia, Afrika, dan Amerika Latin. Aktivitas ini telah diamati sejak Desember 2024 dan berlanjut hingga Agustus 2025.
Setelah enam bulan tidak aktif, PassiveNeuron telah kembali beroperasi, menggunakan tiga alat utama—dua di antaranya sebelumnya tidak dikenal—untuk mendapatkan dan mempertahankan akses ke jaringan yang ditargetkan.
Alat-alat ini meliputi:
- Neursite, sebuah backdoor modular;
- NeuralExecutor, sebuah implan berbasis .NET;
- Cobalt Strike, sebuah kerangka kerja pengujian penetrasi yang sering digunakan oleh pelaku ancaman.
Backdoor Neursite dapat mengumpulkan informasi sistem, mengelola proses yang berjalan, dan merutekan lalu lintas jaringan melalui host yang disusupi, memungkinkan pergerakan lateral dalam jaringan. Sampel ditemukan berkomunikasi dengan server perintah dan kontrol eksternal maupun sistem internal yang disusupi.
NeuralExecutor dirancang untuk mengirimkan muatan tambahan. Implan ini mendukung berbagai metode komunikasi dan dapat memuat serta mengeksekusi rakitan .NET yang diterima dari server perintah dan kontrolnya.
“PassiveNeuron menonjol karena fokusnya pada server yang disusupi, yang seringkali menjadi tulang punggung jaringan organisasi,” kata Georgy Kucherin, Peneliti Keamanan GReAT Kaspersky. “Server yang terekspos ke internet merupakan target yang sangat menarik bagi kelompok ancaman persisten tingkat lanjut (APT), karena satu host yang disusupi dapat menyediakan akses ke sistem kritikal. Oleh karena itu, penting untuk meminimalkan permukaan serangan yang terkait dengannya dan terus memantau aplikasi server untuk mendeteksi dan menghentikan potensi infeksi.”
Dalam sampel yang diamati oleh pakar GReAT Kaspersky, nama fungsi diganti dengan string yang berisi karakter Cyrillic, yang tampaknya sengaja diperkenalkan oleh para penyerang. Artefak semacam itu memerlukan evaluasi yang cermat selama atribusi, karena dapat berfungsi sebagai sinyal palsu yang dirancang untuk menyesatkan para analis. Berdasarkan taktik, teknik, dan prosedur yang diamati, Kaspersky menilai dengan keyakinan rendah bahwa kampanye tersebut kemungkinan terkait dengan aktor ancaman berbahasa Mandarin. Sebelumnya pada tahun 2024, peneliti Kaspersky telah mendeteksi aktivitas dari PassiveNeuron dan menggambarkan kampanye tersebut menunjukkan tingkat kecanggihan yang tinggi.
Informasi selengkapnya tersedia dalam laporan di Securelist.com
Untuk menghindari menjadi korban serangan tertarget oleh aktor ancaman yang dikenal maupun tidak dikenal, peneliti Kaspersky merekomendasikan penerapan langkah-langkah berikut:
- Berikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. The Kaspersky Threat Intelligence Portal adalah titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
- Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman tertarget terbaru dengan Kaspersky online training yang dikembangkan oleh para ahli GReAT.
- Untuk deteksi, investigasi, dan remediasi insiden di tingkat titik akhir, terapkan solusi EDR seperti Kaspersky Endpoint Detection and Response
- Selain mengadopsi perlindungan titik akhir yang esensial, terapkan solusi keamanan tingkat korporat yang mendeteksi ancaman tingkat lanjut di tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform
- Karena banyak serangan tertarget dimulai dengan phishing atau teknik rekayasa sosial lainnya, perkenalkan pelatihan kesadaran keamanan dan ajarkan keterampilan praktis kepada tim Anda – misalnya, melalui Kaspersky Automated Security Awareness Platform
Tentang Tim Riset & Analisis Global (Global Research & Analysis Team/GreAT)
Didirikan pada tahun 2008, Tim Riset & Analisis Global (GReAT) beroperasi di jantung Kaspersky, mengungkap APT, kampanye spionase siber, malware utama, ransomware, dan tren kejahatan siber bawah tanah di seluruh dunia. Saat ini, GReAT terdiri dari lebih dari 35 pakar yang bekerja secara global – di Eropa, Rusia, Amerika Latin, Asia, dan Timur Tengah. Para profesional keamanan berbakat memimpin perusahaan dalam riset dan inovasi anti-malware, menghadirkan keahlian, semangat, dan rasa ingin tahu tak tertandingi dalam penemuan dan analisis ancaman siber.
