Technologue.id, Jakarta - Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan botnet baru yang dibuat oleh aktor ancaman yang muncul kembali pada Juli 2025. Untuk memikat korban, penyerang menggunakan penginstal MSI yang disamarkan sebagai pengaturan palsu untuk gim populer, terutama gim tembak-menembak seperti 'Valorant', 'CS2', atau 'R6x', serta perangkat lunak lainnya.
Botnet tersebut saat ini sedang berkembang dan menimbulkan ancaman aktif bagi pengguna Windows. Botnet ini telah terdeteksi oleh Kaspersky di Meksiko, Chili, Rusia, dan Kazakhstan.
Baca Juga:
Antisipasi Kasus Crowdstrike, Kaspersky Bagi Solusi Preventif
Botnet Tsundere menggunakan pendekatan yang semakin populer dengan menggunakan kontrak pintar Web3 untuk menyimpan alamat perintah dan kontrol (C2), yang secara signifikan meningkatkan ketahanan infrastrukturnya. Panel C2-nya mendukung dua format distribusi yaitu penginstal MSI dan skrip PowerShell dengan implan yang dibuat secara otomatis.
Implan ini akan menginstal bot yang mampu mengeksekusi kode JavaScript yang diterima secara dinamis, melalui saluran WebSocket terenkripsi dari C2, yang dapat menyebabkan eksekusi berbahaya dari kode yang dikirim oleh penyerang.
Untuk mengelola infeksi dan memperbarui lokasi C2, botnet Tsundere menggunakan referensi tetap pada blockchain Ethereum, seperti dompet dan kontrak yang telah ditentukan. Mengubah server C2 hanya memerlukan satu transaksi yang memperbarui variabel status kontrak dengan alamat baru. Ekosistem botnet ini juga mencakup pasar terintegrasi dan panel kontrol yang dapat diakses melalui antarmuka yang sama.
Baca Juga:
Kaspersky Temukan Ribuan Akun Kredensial AWS Muncul di Dark Web
Analisis ini menunjukkan dengan keyakinan tinggi bahwa pelaku ancaman di balik botnet Tsundere kemungkinan berbahasa Rusia, sebagaimana ditunjukkan oleh penggunaan bahasa Rusia dalam kode, sejalan dengan serangan sebelumnya yang terkait dengan pelaku yang sama. Penelitian ini juga menunjukkan adanya hubungan antara botnet Tsundere dan 123 Stealer yang diciptakan oleh 'koneko', yang ditawarkan di forum bawah tanah seharga $120.
"Kami sudah melihat distribusi aktif melalui penginstal game palsu dan tautan ke aktivitas berbahaya yang telah diamati sebelumnya, sehingga pengembangan lebih lanjut oleh botnet ini sangat mungkin terjadi," kata Lisandro Ubiedo, pakar keamanan senior di Tim Riset dan Analisis Global Kaspersky.