Botnet Tsundere menunjukkan evolusi cepat kejahatan siber dengan mengadopsi pendekatan yang semakin populer: menggunakan kontrak pintar Web3 untuk menyimpan alamat Command and Control (C2). Keputusan untuk memindahkan infrastruktur penting ini ke blockchain secara signifikan meningkatkan ketahanan jaringan botnet. Dengan cara ini, infrastruktur Tsundere menjadi jauh lebih fleksibel dan gak mudah dihancurkan oleh peneliti keamanan atau penegak hukum.
Panel C2 botnet Tsundere mendukung dua format distribusi utama. Format pertama adalah melalui penginstal MSI (installer), dan yang kedua menggunakan skrip PowerShell dengan implan yang dibuat secara otomatis. Implan yang terinstal kemudian akan memasang bot yang mampu menjalankan kode JavaScript yang diterima secara dinamis. Kode ini dikirim melalui saluran WebSocket terenkripsi dari C2, yang berpotensi menyebabkan eksekusi berbahaya dari kode yang dikirim oleh penyerang, memberikan kendali penuh dari jarak jauh.
Untuk mengelola infeksi bot dan memperbarui lokasi server C2, botnet Tsundere menggunakan referensi tetap pada blockchain Ethereum, seperti dompet dan kontrak yang telah ditentukan. Mengubah server C2 baru hanyalah masalah simple: satu transaksi yang memperbarui variabel status kontrak dengan alamat baru. Proses update yang cepat dan terdesentralisasi ini membuat upaya takedown terhadap Tsundere menjadi tantangan besar.
Ekosistem All-in-One: Panel Kontrol dan Pasar Terintegrasi Jadi Satu
Ekosistem botnet Tsundere gak cuma tentang C2 yang tangguh. Infrastruktur ini juga mencakup pasar terintegrasi dan panel kontrol yang dapat diakses melalui antarmuka yang sama. Integrasi ini menunjukkan bahwa botnet tersebut dirancang sebagai solusi malware yang komprehensif, memungkinkan pelaku ancaman mengelola infeksi, memperdagangkan data curian, atau menjual akses ke jaringan yang terinfeksi.
Analisis menunjukkan dengan keyakinan yang tinggi bahwa threat actor di balik botnet Tsundere kemungkinan besar berbahasa Rusia. Indikasi ini terlihat dari penggunaan bahasa Rusia di seluruh kode botnet, konsisten dengan serangan-serangan sebelumnya yang terkait dengan pelaku yang sama. Selain itu, penelitian ini juga mengindikasikan adanya hubungan antara Tsundere dan 123 Stealer yang diciptakan oleh 'koneko', yang dijual di forum underground seharga $120.
Lisandro Ubiedo, pakar keamanan senior di Tim Riset dan Analisis Global Kaspersky, menyoroti kecepatan adaptasi penjahat siber. Menurutnya, Tsundere adalah upaya baru dari threat actor untuk merombak perangkat mereka. Dengan beralih ke mekanisme Web3, infrastruktur menjadi jauh lebih fleksibel dan tangguh. Ubiedo juga mencatat adanya distribusi aktif melalui penginstal game palsu, yang mengindikasikan pengembangan botnet ini sangat mungkin terjadi ke depannya.
Pax Insight : Rekomendasi Stay Safe
Untuk tetap aman dari ancaman seperti Tsundere, ada beberapa rekomendasi praktik keamanan yang bisa dilakukan. Kamu wajib menggunakan perangkat lunak berlisensi dan platform game resmi dari penerbit terverifikasi, serta memasang solusi keamanan tepercaya. Selain itu, hindari mengunduh file executable dari sumber gak dikenal, waspadai email phishing, dan patuhi pembaruan software secara berkala, penggunaan kata sandi kuat, dan autentikasi dua faktor.
