XorDDoS Kembali Mengancam: Malware DDoS Kini Sasar Docker & IoT

Dunia keamanan siber kembali dikejutkan dengan temuan terbaru dari tim peneliti Cisco Talos yang mengungkap perkembangan mengkhawatirkan dari malware lama yang kini berevolusi dengan cara yang lebih canggih. Malware bernama XorDDoS, yang sudah dikenal luas karena menyerang sistem operasi Linux sejak lebih dari satu dekade lalu, kini mulai meluaskan target serangannya ke lingkungan Docker, perangkat Internet of Things (IoT), hingga perangkat yang terhubung ke internet di berbagai negara.

Dalam laporan analisis terbarunya, peneliti Cisco Talos, Joey Chen, menyampaikan bahwa XorDDoS menunjukkan tren peningkatan signifikan sejak tahun 2020 hingga 2023. Bahkan, data terbaru mencatat bahwa antara November 2023 hingga Februari 2025, sekitar 71,3 persen serangan XorDDoS menargetkan Amerika Serikat, menandakan bahwa para pelaku siber di balik malware ini semakin agresif dan terorganisir.

Penyebaran Global, Target Spesifik
Meski Amerika Serikat menjadi target utama, penyebaran XorDDoS juga mencakup negara-negara lain seperti Jepang, Kanada, Denmark, Italia, Maroko, dan Tiongkok. Hal ini menunjukkan bahwa skala serangan bersifat global dan dilakukan secara terarah, menyesuaikan dengan potensi celah keamanan pada infrastruktur digital di berbagai wilayah.

Cisco Talos mencatat hampir 42 persen perangkat yang berhasil dikompromikan berasal dari Amerika Serikat. Targetnya bukan sembarang perangkat, melainkan sistem Linux yang umum digunakan untuk menjalankan layanan penting, termasuk server yang mendukung operasional perusahaan maupun penyedia layanan publik.

Dari Linux ke Docker dan IoT
Apa yang membuat XorDDoS kini lebih berbahaya dibanding sebelumnya adalah kemampuannya untuk beradaptasi dengan ekosistem digital modern. Malware ini tak lagi hanya menyerang sistem Linux konvensional, tetapi juga mulai menyasar lingkungan Docker, yaitu platform populer yang digunakan untuk mengelola aplikasi dalam wadah (container), serta perangkat-perangkat IoT yang kian banyak digunakan di sektor industri, rumah tangga, dan perkotaan pintar.

Menurut Chen, setelah berhasil masuk ke sistem target, malware ini akan mengunduh dan menginstal dirinya menggunakan kredensial SSH yang berhasil didapatkan melalui serangan brute-force. Artinya, para pelaku mencoba berbagai kombinasi nama pengguna dan kata sandi hingga menemukan yang sesuai untuk masuk ke sistem target.

Begitu masuk, XorDDoS akan menanamkan skrip inisialisasi dan menjadwalkan dirinya untuk aktif setiap kali sistem dihidupkan. Ini membuat malware tersebut tetap aktif dalam jangka panjang dan siap meluncurkan serangan DDoS kapan saja diperintahkan oleh pengendalinya.

Teknologi Kriptografi XOR dan Infrastruktur C2
XorDDoS menggunakan teknik kriptografi XOR dengan kunci “BB2FA36AAA9541F0” untuk menyembunyikan konfigurasinya. Di dalam konfigurasi tersebut terdapat informasi penting seperti alamat IP dari server command-and-control (C2) yang digunakan untuk mengendalikan jaringan botnet yang telah dibentuk.

Teknologi ini membuat malware lebih sulit dideteksi dan dianalisis oleh sistem keamanan tradisional. Bahkan, saat malware aktif, ia akan terus menerima instruksi dari pengendalinya untuk melakukan serangan DDoS yang dapat melumpuhkan layanan daring seperti situs web, server aplikasi, dan platform digital lainnya.

Versi Baru dan Dugaan Komersialisasi
Lebih lanjut, Cisco Talos menemukan adanya versi baru dari sub-pengendali XorDDoS yang dikenal sebagai versi VIP. Versi ini dilengkapi dengan pengendali pusat (central controller) dan alat pembuatnya (builder), yang diduga kuat sedang diperjualbelikan secara ilegal di pasar gelap siber.

Pengendali pusat bertugas mengoordinasikan beberapa sub-pengendali, masing-masing dengan jaringan botnet-nya sendiri. Ketika perintah serangan dikirim dari pusat, semua sub-pengendali akan meneruskannya ke perangkat-perangkat yang terinfeksi untuk melakukan serangan secara serentak, meningkatkan skala dan efektivitas serangan.

Menariknya, analisis terhadap pengaturan bahasa dan alat bantu yang digunakan dalam sistem kontrol malware ini menunjukkan bahwa para pelaku yang berada di baliknya kemungkinan besar adalah penutur bahasa Mandarin. Hal ini menguatkan dugaan bahwa kelompok siber yang berbasis di wilayah berbahasa Tiongkok berada di balik penyebaran dan pengembangan XorDDoS versi terbaru.

Ancaman Serius Bagi Infrastruktur Digital
Keberadaan XorDDoS yang terus berkembang ini menjadi peringatan keras bagi penyedia layanan digital, perusahaan teknologi, institusi pemerintah, hingga pengguna pribadi untuk meningkatkan kewaspadaan terhadap serangan DDoS dan malware.

Perangkat IoT yang tidak diperbarui, server Linux yang terbuka akses SSH-nya, serta sistem Docker yang tidak diamankan dengan benar bisa menjadi pintu masuk empuk bagi XorDDoS.

Para ahli keamanan siber merekomendasikan agar pengguna memperkuat keamanan SSH dengan kata sandi yang kuat atau autentikasi dua faktor (2FA), membatasi akses hanya dari IP tertentu, dan secara rutin memperbarui sistem serta memantau lalu lintas jaringan.

Kasus XorDDoS menjadi bukti nyata bahwa malware lama bisa kembali dengan wajah baru dan dampak yang lebih besar. Evolusinya dari sekadar trojan Linux menjadi ancaman lintas platform yang mencakup Docker dan IoT menunjukkan bahwa dunia siber terus bergerak dinamis.

Upaya kolektif dari para peneliti, penyedia teknologi, dan pengguna sangat dibutuhkan untuk mengantisipasi dan memitigasi dampak dari serangan siber semacam ini. XorDDoS bukan sekadar nama lama, melainkan ancaman nyata yang kini tampil lebih canggih dan tersembunyi.