Atroposia: Malware MaaS Baru Lengkapi RAT dengan Pemindai Kerentanan Lokal

Peneliti keamanan dari Varonis mengungkapkan kemunculan Atroposia, sebuah layanan malware-as-a-service (MaaS) yang menyediakan paket Remote Access Trojan (RAT) modular lengkap dengan kemampuan akses persisten, pengintaian, dan — yang membedakannya — pemindai kerentanan lokal untuk membantu aktor ancaman memprioritaskan target di jaringan korban.

Atroposia dipasarkan dengan model berlangganan (sekitar $200 per bulan) dan menawarkan fitur-fitur yang umum dicari pelaku kejahatan siber yang ingin operasi cepat tanpa keahlian teknis mendalam. Menurut analisis Varonis, RAT ini berkomunikasi dengan infrastruktur command-and-control (C2) melalui kanal terenkripsi, mampu mem-bypass kontrol UAC (User Account Control) pada Windows, dan mempertahankan akses yang relatif stealthy pada host yang terinfeksi.

Fitur utama Atroposia

• HRDP Connect (covert remote desktop): membuka sesi desktop tersembunyi di latar belakang sehingga penyerang dapat membuka aplikasi dan melihat dokumen korban tanpa indikasi visual yang jelas, membuat deteksi berbasis tampilan desktop menjadi lebih sulit.
• Explorer-style file manager & grabber: antarmuka manajer file jarak jauh untuk menjelajah, menyalin, mengeksekusi, atau menghapus berkas; modul grabber memfilter berkas berdasarkan ekstensi atau kata kunci, mengompresnya ke ZIP ber-password, lalu mengekfiltrasi data menggunakan teknik in-memory untuk meminimalkan jejak forensik.
• Stealer: menargetkan kredensial tersimpan, dompet kripto, dan file chat; modul ini kerap dipadukan dengan kemampuan pencurian clipboard yang menangkap apa pun yang disalin pengguna (mis. password, API key, alamat dompet).
• DNS hijacking: mengubah pemetaan domain lokal korban sehingga lalu lintas diarahkan ke server penyerang—memungkinkan phishing, MITM, injeksi update palsu, atau exfiltration berbasis DNS.
• Pemindai kerentanan lokal: komponen yang melakukan audit konfigurasi dan patch, memeriksa software usang, serta menilai celah yang dapat dieksploitasi. Pindai ini mengembalikan skor prioritas sehingga operator mengetahui celah mana yang paling menguntungkan untuk dieksploitasi lebih lanjut. Modul ini berbahaya dalam konteks perusahaan karena bisa menemukan klien VPN lama atau bug eskalasi hak istimewa yang belum ditambal.

Mengapa ini berbahaya untuk lingkungan korporat
Kombinasi akses jarak jauh yang tersembunyi dan pemindaian internal membuat Atroposia sangat efektif untuk lateral movement dan eskalasi. Dengan kemampuan menemukan host rentan di jaringan internal, pelaku bisa mengidentifikasi jalur menuju server sensitif atau domain yang belum diperbarui, lalu memanfaatkan celah tersebut untuk memperdalam kompromi. Fitur DNS hijack juga memberi peluang untuk kampanye phishing yang sangat meyakinkan karena korban diarahkan ke server yang dikontrol pelaku tanpa disadari.

Implikasi ekonomi dan operasional
Model MaaS menjadikan toolkit ini terjangkau bagi aktor berisiko rendah hingga menengah, sehingga meningkatkan jumlah dan frekuensi kampanye siber yang efektif. Alat-alat “plug-and-play” seperti Atroposia menurunkan hambatan teknis bagi penjahat dan mendorong proliferasi insiden yang ditujukan terhadap organisasi dengan praktik patching dan pengelolaan aset yang lemah.

Rekomendasi mitigasi

• Percepat patching: identifikasi dan prioritaskan perbaikan pada sistem yang menjalankan layanan publik dan klien VPN; tutup port dan layanan yang tidak diperlukan.
• Batasi izin administratif: terapkan prinsip least privilege pada akun dan layanan; gunakan pengelolaan akses terpusat dan pemantauan perubahan hak.
• Deteksi remote desktop tidak wajar: pantau sesi RDP/HRDP tersembunyi dan anomali proses yang membuka sesi desktop tanpa interaksi pengguna yang jelas.
• Proteksi DNS: gunakan DNS resolvers yang tervalidasi, DNSSEC bila memungkinkan, serta monitoring perubahan pemetaan DNS internal.
• Keamanan endpoint dan EDR: jalankan solusi endpoint detection and response (EDR) yang mampu mendeteksi perilaku eksfiltrasi, manipulasi proses, dan teknik in-memory.
• Kebijakan instalasi perangkat lunak: batasi pemasangan perangkat lunak dari sumber tidak tepercaya dan larang penggunaan perangkat lunak bajakan atau repositori pihak ketiga yang tidak terverifikasi.
• Audit izin sensitif: cek aplikasi yang meminta izin tinggi (mis. akses file system, clipboard, instalasi driver), dan cabut izin yang tidak perlu.

Kesimpulan
Atroposia mencontohkan evolusi MaaS modern: RAT modular dengan kemampuan ekstensif sekaligus fitur intelijen internal berupa pemindai kerentanan. Kombinasi ini memperbesar risiko bagi organisasi yang tidak menerapkan praktik keamanan dasar seperti patching rutin, pengelolaan hak akses ketat, dan monitoring jaringan yang memadai. Organisasi harus memperlakukan deteksi aktivitas serupa sebagai prioritas tinggi dan segera mengimplementasikan langkah mitigasi yang disebutkan untuk menurunkan eksposur.

Sumber: Varonis