LinkedIn Disalahgunakan Peretas untuk Sebar Malware Berbahaya

Ancaman kejahatan siber kembali berkembang seiring meningkatnya pemanfaatan media sosial dalam aktivitas profesional. Peneliti keamanan siber mengungkap adanya kampanye phishing terbaru yang memanfaatkan pesan pribadi di LinkedIn untuk menyebarkan malware berbahaya jenis Remote Access Trojan (RAT). Malware ini memungkinkan peretas mengendalikan komputer korban dari jarak jauh tanpa sepengetahuan pengguna.

Temuan ini diungkap oleh perusahaan keamanan siber ReliaQuest dalam laporan yang dilansir dari The Hacker News. Dalam kampanye tersebut, pelaku mengirimkan file berbahaya menggunakan teknik Dynamic Link Library (DLL) sideloading, yang dikombinasikan dengan skrip Python open-source yang tampak sah. Teknik ini membuat serangan lebih sulit terdeteksi oleh sistem keamanan konvensional.

Modus serangan dimulai dengan menghubungi individu bernilai tinggi, seperti profesional IT, eksekutif, atau karyawan perusahaan, melalui pesan langsung LinkedIn. Pelaku terlebih dahulu membangun kepercayaan, lalu membujuk korban untuk mengunduh arsip WinRAR self-extracting (SFX) yang telah disusupi malware. File tersebut biasanya disamarkan sebagai dokumen atau materi kerja yang terlihat meyakinkan.

Saat arsip dijalankan, sistem korban akan mengekstrak empat komponen utama. Pertama, aplikasi pembaca PDF open-source yang sah. Kedua, file DLL berbahaya yang dimuat secara diam-diam oleh aplikasi PDF tersebut. Ketiga, file executable portabel dari interpreter Python. Keempat, sebuah file RAR tambahan yang diduga hanya berfungsi sebagai umpan agar korban tidak curiga.

Rantai infeksi aktif ketika aplikasi pembaca PDF dijalankan. Pada saat itulah DLL berbahaya dimuat melalui teknik DLL sideloading. Metode ini semakin populer di kalangan pelaku kejahatan siber karena memanfaatkan proses aplikasi yang sah, sehingga aktivitas berbahaya dapat tersembunyi dengan baik dan lolos dari pemantauan keamanan.

ReliaQuest mencatat, dalam sepekan terakhir setidaknya terdapat tiga kampanye berbeda yang menggunakan teknik serupa. Kampanye tersebut mengirimkan berbagai jenis malware, termasuk keluarga malware yang dikenal sebagai LOTUSLITE dan PDFSIDER, serta trojan umum dan pencuri data (information stealer).

Dalam kampanye yang diamati, DLL berbahaya digunakan untuk memasang interpreter Python ke dalam sistem korban dan membuat Registry Run Key di Windows. Dengan cara ini, malware akan otomatis berjalan setiap kali pengguna login ke sistem. Interpreter Python kemudian mengeksekusi shellcode open-source yang telah dienkripsi dalam format Base64 dan dijalankan langsung di memori, sehingga tidak meninggalkan jejak di hard disk.

Tahap akhir serangan melibatkan komunikasi dengan server eksternal milik penyerang. Melalui koneksi ini, peretas memperoleh akses jarak jauh secara permanen ke komputer korban serta dapat mencuri data penting, mulai dari kredensial hingga informasi sensitif perusahaan.

ReliaQuest menyebut kampanye ini bersifat luas dan oportunistik, dengan target dari berbagai sektor dan wilayah. Namun, karena serangan dilakukan melalui pesan pribadi media sosial yang minim pengawasan, skala sebenarnya sulit dipastikan. Kondisi ini menjadikan LinkedIn dan platform sejenis sebagai celah baru dalam keamanan siber organisasi.

Penyalahgunaan LinkedIn untuk serangan siber bukanlah hal baru. Dalam beberapa tahun terakhir, sejumlah kelompok peretas, termasuk yang dikaitkan dengan Korea Utara, diketahui menggunakan modus penawaran kerja palsu untuk menipu korban agar menjalankan file berbahaya. Pada Maret 2025, Cofense juga melaporkan kampanye phishing bertema notifikasi LinkedIn yang mengarahkan korban mengunduh perangkat lunak remote desktop untuk mengambil alih sistem.

ReliaQuest menegaskan bahwa organisasi perlu mulai memandang media sosial sebagai permukaan serangan yang kritis. Tidak seperti email yang umumnya sudah dilengkapi sistem keamanan berlapis, pesan pribadi di media sosial masih minim kontrol dan visibilitas. Oleh karena itu, perusahaan disarankan memperluas strategi pertahanan siber mereka, tidak hanya berfokus pada email, tetapi juga pada platform media sosial yang semakin sering dimanfaatkan pelaku kejahatan digital.