Tsundere Bot dan XWorm, Kombinasi Baru Serangan Ransomware

Ancaman serangan siber kembali menunjukkan eskalasi yang mengkhawatirkan. Kelompok peretas yang berperan sebagai initial access broker dan dilacak dengan kode TA584 dilaporkan mulai mengadopsi malware baru bernama Tsundere Bot untuk membuka jalan menuju serangan ransomware. Malware ini digunakan bersama XWorm, sebuah remote access trojan (RAT), guna menyusup ke jaringan korban secara senyap.

Peneliti keamanan siber dari Proofpoint mengungkapkan bahwa aktivitas TA584 telah mereka pantau sejak 2020. Namun, dalam beberapa waktu terakhir, intensitas dan kompleksitas serangan kelompok ini meningkat signifikan. TA584 kini menerapkan rantai serangan berkelanjutan yang dirancang untuk menghindari mekanisme deteksi statis yang umum digunakan oleh sistem keamanan organisasi.

Tsundere Bot sendiri pertama kali didokumentasikan oleh Kaspersky pada tahun lalu. Malware ini dikaitkan dengan operator berbahasa Rusia yang memiliki hubungan dengan keluarga malware 123 Stealer. Pada awal kemunculannya, tujuan dan metode infeksi Tsundere Bot belum sepenuhnya terungkap. Namun, temuan terbaru Proofpoint menunjukkan bahwa malware ini memiliki kapabilitas berbahaya yang cukup luas.

Menurut Proofpoint, Tsundere Bot dapat digunakan untuk mengumpulkan informasi sistem, mencuri dan mengirimkan data sensitif ke server penyerang, melakukan pergerakan lateral di dalam jaringan, hingga memasang malware tambahan. Dengan kemampuan tersebut, peneliti menilai dengan tingkat keyakinan tinggi bahwa infeksi Tsundere Bot berpotensi menjadi pintu masuk bagi serangan ransomware berskala besar.

Lonjakan aktivitas TA584 terlihat jelas pada akhir 2025, di mana volumenya meningkat hingga tiga kali lipat dibandingkan kuartal pertama tahun yang sama. Tidak hanya dari sisi intensitas, cakupan target serangan pun meluas. Jika sebelumnya berfokus pada Amerika Utara serta Inggris dan Irlandia, kini serangan TA584 juga menyasar Jerman, sejumlah negara Eropa lainnya, hingga Australia.

Rantai serangan yang digunakan kelompok ini umumnya dimulai dari email berbahaya. Menariknya, email tersebut dikirim dari ratusan akun lama yang telah diretas dan memanfaatkan layanan sah seperti SendGrid serta Amazon Simple Email Service (SES), sehingga terlihat lebih meyakinkan di mata korban.

Setiap email mengandung URL unik yang disesuaikan dengan target. Penyerang menerapkan teknik pembatasan geografis (geofencing), penyaringan alamat IP, serta mekanisme pengalihan berantai yang kerap melibatkan sistem pengarah lalu lintas pihak ketiga seperti Keitaro. Jika korban lolos dari seluruh filter tersebut, mereka akan diarahkan ke halaman CAPTCHA, lalu ke halaman ClickFix yang berisi instruksi untuk menjalankan perintah PowerShell di perangkat mereka.

Perintah ini akan mengunduh dan menjalankan skrip tersembunyi yang memuat XWorm atau Tsundere Bot langsung ke dalam memori sistem. Untuk mengelabui korban, browser kemudian dialihkan ke situs yang tampak normal dan tidak mencurigakan.

Proofpoint mencatat bahwa TA584 bukan pemain baru dalam ekosistem malware. Selama bertahun-tahun, kelompok ini telah menggunakan berbagai muatan berbahaya seperti Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike, hingga DCRAT, yang bahkan masih ditemukan dalam satu kasus pada 2025.

Sebagai platform malware-as-a-service (MaaS), Tsundere Bot menawarkan fungsi backdoor dan loader. Malware ini membutuhkan Node.js untuk beroperasi dan secara otomatis memasangnya di sistem korban melalui installer yang dihasilkan dari panel command-and-control (C2). Uniknya, alamat server C2 diambil dari blockchain Ethereum menggunakan teknik EtherHiding, dengan alamat cadangan yang sudah ditanam langsung di dalam installer.

Tsundere Bot juga dilengkapi mekanisme untuk memeriksa bahasa sistem. Jika terdeteksi menggunakan bahasa negara-negara CIS, terutama Rusia, malware akan menghentikan eksekusinya. Selain itu, malware ini mampu menjalankan kode JavaScript dari server C2, mengumpulkan profil sistem korban, serta memanfaatkan perangkat yang terinfeksi sebagai proxy SOCKS. Bahkan, tersedia pasar internal tempat bot yang telah terinfeksi dapat diperjualbelikan.

Ke depan, para peneliti memperkirakan TA584 akan terus memperluas target serangan ke lebih banyak sektor dan wilayah, sekaligus bereksperimen dengan berbagai jenis malware baru. Temuan ini menjadi pengingat penting bagi organisasi untuk meningkatkan kewaspadaan, memperkuat keamanan email, serta mengedukasi pengguna agar tidak mudah terjebak oleh teknik rekayasa sosial yang semakin canggih.