ResolverRAT: Ancaman Canggih yang Targetkan Sektor Kesehatan

Di tengah semakin canggihnya ancaman siber, para peneliti keamanan siber baru-baru ini mengungkap adanya kampanye malware baru yang menyasar sektor kesehatan dan farmasi. Kampanye tersebut menggunakan trojan akses jarak jauh canggih bernama ResolverRAT. Menurut laporan dari para peneliti Morphisec Labs, serangan ini dilakukan dengan memanfaatkan email phishing yang dikemas dengan umpan berbasis rasa takut, untuk memanipulasi korban agar mengklik tautan berbahaya yang memicu infeksi.

Bagaimana Malware ResolverRAT Bekerja?

Pelaku serangan yang menggunakan ResolverRAT memiliki metode yang sangat halus dan terorganisir dalam menjalankan aksinya. Mereka menyebarkan email phishing yang berisi tautan yang, ketika diklik, akan mengunduh dan menjalankan file yang mengaktifkan trojan tersebut. Hal ini menunjukkan seberapa canggih teknik yang digunakan oleh para pelaku untuk menyusup ke dalam sistem korban.

“Serangan ini dimulai dengan email phishing yang dibuat untuk menciptakan rasa takut, mendorong korban untuk mengklik tautan berbahaya,” ujar Nadav Lorber, seorang peneliti dari Morphisec Labs, yang terlibat dalam penemuan ini. Setelah tautan diklik, korban diarahkan untuk mengunduh dan membuka file berbahaya yang memicu eksekusi ResolverRAT, sebuah trojan yang dapat memberikan akses jauh ke sistem yang terinfeksi.

Kampanye ini, yang pertama kali terdeteksi pada 10 Maret 2025, menggunakan infrastruktur yang serupa dengan kampanye phishing lainnya yang telah mendistribusikan malware pencuri informasi, seperti Lumma dan Rhadamanthys. Malware ini biasanya berfungsi untuk mencuri data sensitif dari pengguna yang terinfeksi.

Umpan Phishing yang Disesuaikan

Salah satu aspek yang menonjol dari kampanye ResolverRAT ini adalah penggunaan umpan phishing yang disesuaikan dengan bahasa lokal yang digunakan di negara-negara target. Beberapa bahasa yang digunakan dalam email phishing tersebut mencakup Hindi, Italia, Ceko, Turki, Portugis, dan bahkan Bahasa Indonesia. Hal ini menunjukkan bahwa pelaku ancaman sengaja menargetkan berbagai wilayah geografis untuk memperbesar peluang infeksi.

Email phishing tersebut dirancang dengan tema yang menarik perhatian, seperti mengklaim adanya investigasi hukum atau pelanggaran hak cipta. Pesan-pesan ini dibuat untuk menciptakan rasa urgensi palsu di kalangan penerima, yang berisiko terjebak untuk bertindak cepat tanpa berpikir panjang.

Teknik ini sangat efektif karena memberikan ilusi bahwa ada konsekuensi serius yang harus segera dihadapi. Penggunaan bahasa lokal dan tema yang relevan membuat email ini tampak lebih sah, meningkatkan kemungkinan penerima untuk terjebak.

Teknik Infeksi: DLL Side-Loading

Proses infeksi ResolverRAT menggunakan teknik yang cukup canggih, yaitu DLL side-loading. Teknik ini memungkinkan malware untuk menyusup ke dalam sistem dengan cara yang hampir tidak terlihat.

Cara kerjanya adalah dengan memanfaatkan file DLL yang sah, yang kemudian dipasangkan dengan file berbahaya untuk mengeksekusi malware secara tersembunyi.

Pada tahap pertama, pemuat memori (in-memory loader) akan mendekripsi dan mengeksekusi muatan utama malware. Teknik ini juga mengandalkan sejumlah trik lain untuk menghindari deteksi. Salah satu hal yang membedakan ResolverRAT adalah bahwa muatan utamanya tidak hanya dienkripsi dan dikompresi, tetapi juga hanya berada di dalam memori setelah didekripsi, sehingga sulit terdeteksi oleh perangkat lunak keamanan tradisional.

Menurut Lorber, proses inisialisasi malware ini menunjukkan betapa canggihnya mekanisme yang digunakan. "Ini adalah proses bertahap yang dirancang untuk berjalan diam-diam dan tahan lama," jelas Lorber. Selain itu, ResolverRAT juga menggunakan metode redundansi untuk memastikan malware tetap bertahan, seperti melalui penyimpanan di Windows Registry dan berbagai lokasi lainnya di sistem komputer.

Fitur Keamanan yang Canggih dan Kemampuan Menghindari Deteksi

Salah satu fitur menarik dari ResolverRAT adalah kemampuannya untuk menghindari deteksi dari sistem keamanan. Setelah malware ini dijalankan, ia menghubungkan dirinya ke server command-and-control (C2) menggunakan sistem autentikasi berbasis sertifikat khusus. Sistem ini memungkinkan malware untuk melewati otoritas sertifikat standar yang digunakan oleh sistem operasi Windows, membuatnya sulit untuk terdeteksi oleh perangkat lunak antivirus.

Selain itu, ResolverRAT juga menggunakan teknik rotasi IP untuk menghubungi server C2 alternatif jika server utama tidak dapat dijangkau atau telah dihentikan. Sistem ini memungkinkan pelaku ancaman untuk tetap mengontrol sistem yang terinfeksi, meskipun ada upaya untuk memblokir koneksi ke server C2 mereka.

Dengan menggunakan certificate pinning, pengaburan kode (code obfuscation), dan pola komunikasi yang tidak teratur, malware ini dirancang untuk menghindari upaya deteksi yang dilakukan oleh sistem keamanan yang ada. Teknik-teknik ini semakin memperlihatkan betapa canggihnya infrastruktur yang dimiliki oleh pelaku ancaman ini.

Tujuan Akhir: Pencurian Data dan Kontrol Jarak Jauh

Tujuan utama dari ResolverRAT adalah untuk memproses perintah yang diberikan oleh server C2 dan kemudian mengirimkan responsnya kembali. Dalam beberapa kasus, malware ini membagi data yang lebih besar dari 1 MB menjadi potongan-potongan kecil berukuran 16 KB, untuk mengurangi kemungkinan deteksi oleh perangkat lunak pemantauan.

Kampanye ini telah berlangsung cukup lama dan terbilang efektif. Meskipun demikian, pelaku serangan ini belum bisa dikaitkan dengan kelompok atau negara tertentu. Namun, adanya kesamaan dalam tema umpan phishing dan teknik DLL side-loading yang digunakan dalam kampanye phishing lainnya menunjukkan bahwa ada kemungkinan keterkaitan antara kampanye ini dengan kelompok ancaman tertentu.

Berdasarkan kecocokan pola yang ditemukan, Morphisec Labs menduga bahwa mungkin ada hubungan antara berbagai kelompok ancaman siber, yang bisa jadi beroperasi dengan model afiliasi atau bekerja sama dalam meluncurkan serangan secara terkoordinasi.

Kaitan dengan Malware Lain: Neptune RAT

Selain ResolverRAT, para peneliti juga mengungkapkan bahwa ada malware lain yang sedang berkembang, yaitu Neptune RAT. Malware ini juga merupakan trojan akses jarak jauh yang menggunakan pendekatan modular berbasis plugin untuk mencuri data dan mempertahankan eksistensinya di sistem korban.

Neptune RAT dilengkapi dengan berbagai fitur berbahaya, termasuk crypto clipper (untuk mencuri cryptocurrency), pencuri kata sandi yang bisa mengambil kredensial lebih dari 270 aplikasi berbeda, serta kemampuan ransomware. Selain itu, malware ini juga memungkinkan pemantauan desktop secara langsung.

Neptune RAT menyebar melalui platform terbuka seperti GitHub, Telegram, dan YouTube, meskipun akun GitHub yang sebelumnya terkait dengan malware ini, yaitu MasonGroup (alias FREEMASONRY), kini sudah tidak dapat diakses.

Kesimpulan: Ancaman yang Semakin Canggih

Kampanye ResolverRAT dan kemunculan Neptune RAT mengingatkan kita tentang betapa seriusnya ancaman siber yang dihadapi oleh sektor-sektor kritis, seperti kesehatan dan farmasi. Teknik-teknik yang digunakan oleh para pelaku ancaman ini semakin canggih, membuatnya semakin sulit untuk dideteksi oleh sistem keamanan yang ada. Oleh karena itu, penting bagi organisasi untuk meningkatkan kesadaran keamanan siber dan memperbarui sistem pertahanan mereka secara rutin untuk melawan ancaman yang terus berkembang ini.

Dengan menggunakan metode yang tersembunyi dan infrastruktur canggih, para pelaku ancaman ini mampu mencuri data sensitif dan mempertahankan akses ke sistem yang terinfeksi dalam jangka panjang. Dalam menghadapi ancaman seperti ini, kolaborasi antara berbagai sektor, termasuk perusahaan teknologi, lembaga pemerintahan, dan individu, sangat diperlukan untuk menciptakan lingkungan yang lebih aman dari serangan siber.