Varian baru XWorm, malware remote access trojan (RAT) yang sempat populer pada 2022, kembali beredar di dunia maya melalui kampanye phishing. Kini, versi terbarunya — XWorm 6.0, 6.4, dan 6.5 — hadir dengan lebih dari 35 plugin berbahaya, termasuk modul ransomware yang mampu mengenkripsi data korban.
Dari Proyek Terbengkalai Jadi Alat Serangan Baru
XWorm awalnya dikembangkan oleh individu bernama XCoder, yang kemudian menutup seluruh akun Telegram-nya pada 2024 dan menghentikan proyek tersebut di versi 5.6. Versi lama itu masih memiliki celah Remote Code Execution (RCE) yang kini sudah diperbaiki pada rilis terbaru.
Pasca kepergian pengembang aslinya, berbagai aktor ancaman mengambil alih dan menyebarkan versi modifikasi XWorm — baik versi retas maupun edisi berbayar palsu. Popularitasnya bahkan dimanfaatkan untuk menjebak sesama peretas pemula, menghasilkan lebih dari 18.000 infeksi di Rusia, AS, India, Ukraina, dan Turki.
Kini, akun bernama “XCoderTools” di forum bawah tanah menawarkan “XWorm 6.x” dengan langganan seumur hidup seharga $500, lengkap dengan perbaikan bug dan modul tambahan.
Taktik Infeksi yang Kian Kompleks
Menurut laporan Trellix, peningkatan aktivitas XWorm mulai terlihat sejak Juni 2025 melalui platform VirusTotal, menandakan adopsi luas oleh pelaku kejahatan siber.
Rantai infeksi kini tidak lagi terbatas pada lampiran email — tetapi mencakup berbagai teknik:
- File JavaScript berbahaya yang menjalankan PowerShell untuk melewati perlindungan Antimalware Scan Interface (AMSI).
- File .LNK dan .EXE palsu yang menyamar sebagai aplikasi populer seperti Discord.
- File Excel (.XLAM) dengan shellcode tersembunyi.
- Umpan bertema AI tools dan remote-access software palsu (ScreenConnect modifikasi).
“Serangan XWorm kini menggabungkan rekayasa sosial dengan teknik teknis canggih, menjadikannya jauh lebih efektif,” ungkap Trellix.
Modul Ransomware dan Puluhan Plugin
Trellix menemukan lebih dari 35 plugin aktif pada XWorm terbaru, memungkinkan operator untuk:
- Mencuri kredensial browser, wallet kripto, FTP, dan aplikasi komunikasi.
- Mengambil kendali sistem melalui Remote Desktop dan Shell Commands.
- Mengumpulkan data sistem, rekam webcam, serta memonitor koneksi TCP aktif.
Yang paling berbahaya adalah modul Ransomware.dll, yang menambahkan ekstensi .ENC ke file terenkripsi. Modul ini memungkinkan pelaku untuk:
- Menentukan jumlah tebusan, alamat dompet kripto, dan email kontak.
- Mengganti wallpaper desktop korban.
- Menghapus file asli setelah enkripsi dan menampilkan instruksi pembayaran dalam file HTML di desktop.
Analisis kode menunjukkan kemiripan dengan ransomware NoCry (2021), karena keduanya menggunakan AES-CBC 4096-byte block dan algoritma yang sama untuk pembuatan key & initialization vector (IV).
Daftar Plugin XWorm yang Ditemukan Trellix
- RemoteDesktop.dll – kendali jarak jauh penuh.
- Stealer.dll / Chromium.dll / Recovery.dll – pencurian data dan password.
- FileManager.dll – manipulasi file sistem.
- Shell.dll – eksekusi perintah di latar belakang.
- Webcam.dll – merekam aktivitas korban.
- Informations.dll – inventaris sistem korban.
- TCPConnections.dll / ActiveWindows.dll / StartupManager.dll – pengumpulan data koneksi dan aplikasi aktif.
Rekomendasi Pertahanan
Trellix menyarankan organisasi untuk menerapkan lapisan pertahanan berlapis (multi-layered defense), meliputi:
- EDR (Endpoint Detection and Response) untuk mendeteksi perilaku modul XWorm.
- Email & Web Filter guna mencegah malware dropper.
- Network monitoring untuk mendeteksi komunikasi Command & Control (C2) dan aktivitas data exfiltration.
- Pembaruan kebijakan keamanan dan pelatihan karyawan agar lebih waspada terhadap file phishing bertema bisnis maupun AI.
Kembalinya XWorm menunjukkan bahwa ekosistem malware modular terus berevolusi, dengan pelaku kejahatan kini lebih memilih fleksibilitas plugin yang dapat diperluas untuk mencuri, mengenkripsi, dan mengontrol sistem korban secara menyeluruh.
Sumber: BleepingComputer