Arkanix Stealer Muncul sebagai Eksperimen Malware Berbasis AI yang Berumur Pendek

Sebuah operasi malware pencuri data bernama Arkanix Stealer sempat muncul di berbagai forum dark web pada akhir 2025 sebelum akhirnya menghilang hanya dalam waktu sekitar dua bulan. Proyek ini diduga dikembangkan dengan bantuan model bahasa besar (LLM) untuk mempercepat proses pembuatan dan distribusi fitur.

Peneliti dari Kaspersky yang menganalisis Arkanix menemukan sejumlah indikasi kuat bahwa pengembangannya melibatkan asistensi AI. Menurut mereka, pendekatan tersebut kemungkinan besar memangkas waktu dan biaya pengembangan secara signifikan.

Menariknya, panel kontrol serta server Discord resmi yang digunakan untuk komunikasi dengan pelanggan tiba-tiba ditutup tanpa pemberitahuan, mengakhiri operasi secara mendadak.

Dipasarkan Layaknya Produk Komersial

Arkanix mulai dipromosikan di forum peretas pada Oktober 2025 dengan dua paket layanan. Versi dasar menggunakan implementasi berbasis Python, sementara versi “premium” menawarkan payload native C++ yang dilindungi VMProtect, lengkap dengan fitur penghindaran antivirus dan injeksi dompet kripto.

Pengembangnya bahkan membangun komunitas melalui server Discord untuk memberikan pembaruan, menerima masukan fitur, serta memberikan dukungan teknis. Sebuah program referral juga diterapkan untuk memperluas distribusi, dengan imbalan akses premium gratis bagi pengguna yang berhasil mengajak anggota baru.

Kaspersky menilai pendekatan ini membuat Arkanix lebih menyerupai produk perangkat lunak publik ketimbang malware konvensional yang beroperasi secara tertutup.

Fitur Pencurian Data yang Luas

Secara fungsional, Arkanix memiliki kemampuan standar yang umum ditemukan pada info-stealer modern. Malware ini dapat:

• Mengumpulkan informasi sistem
• Mencuri data browser seperti riwayat, autofill, cookie, dan kata sandi
• Mengambil data dompet kripto dari 22 browser
• Mengekstrak token OAuth2 pada browser berbasis Chromium
• Mencuri data Telegram dan kredensial Discord
• Menyebarkan diri melalui API Discord dengan mengirim pesan ke kontak korban
• Mengambil kredensial VPN seperti Mullvad, NordVPN, ExpressVPN, dan ProtonVPN
• Mengarsipkan file lokal untuk dieksfiltrasi secara asinkron

Selain itu, modul tambahan dapat diunduh dari server command-and-control, termasuk Chrome grabber, patcher dompet Exodus dan Atomic, alat tangkapan layar, HVNC, serta stealer untuk FileZilla dan Steam.

Versi premium berbasis C++ menambahkan fitur lanjutan seperti pencurian kredensial RDP, mekanisme anti-sandbox dan anti-debugging, tangkapan layar berbasis WinAPI, serta penargetan akun Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect, dan GOG.

Varian tingkat tinggi ini juga mengirimkan tool pasca-eksploitasi bernama ChromElevator, yang dirancang untuk menyuntikkan kode ke proses browser yang disuspend guna mencuri data. Tool tersebut diklaim mampu melewati proteksi App-Bound Encryption (ABE) milik Google untuk mengakses kredensial pengguna.

Indikasi Kuat Pengembangan Berbantuan AI

Analisis kode menunjukkan pola khas hasil generasi AI, termasuk komentar redundan, struktur sederhana dengan fokus berlebihan pada format, serta teknik parsing yang tidak efisien. Temuan ini memperkuat dugaan bahwa LLM digunakan untuk mempercepat pembuatan modul dan fitur.

Peneliti menilai Arkanix kemungkinan merupakan eksperimen jangka pendek untuk menguji seberapa efektif AI dapat mempercepat pengembangan malware dan distribusi fitur baru ke komunitas kejahatan siber.

Pendeknya umur operasi ini juga membuat proses deteksi dan pelacakan menjadi lebih sulit, karena infrastruktur dan artefak digital cepat dihapus.

Kaspersky turut merilis daftar indikator kompromi (IoC) yang mencakup hash file berbahaya, domain, dan alamat IP yang teridentifikasi selama analisis.

Kemunculan Arkanix menunjukkan bagaimana teknologi AI generatif kini tidak hanya dimanfaatkan dalam pengembangan perangkat lunak legal, tetapi juga dalam mempercepat evolusi malware dengan model distribusi semi-komersial.