Serangan Termite Ransomware Dikaitkan dengan ClickFix dan CastleRAT
Aktor ransomware yang dilacak sebagai Velvet Tempest dilaporkan menggunakan teknik rekayasa sosial ClickFix dan utilitas bawaan Windows untuk menyebarkan malware DonutLoader serta backdoor CastleRAT dalam rangkaian serangan yang berujung pada intrusi terkait Termite ransomware.
Temuan ini diungkap oleh perusahaan intelijen ancaman berbasis cyber-deception, MalBeacon, yang memantau aktivitas kelompok tersebut selama 12 hari dalam lingkungan organisasi tiruan di Amerika Serikat.
Profil Velvet Tempest
Velvet Tempest, juga dikenal sebagai DEV-0504, telah beroperasi sebagai afiliasi ransomware setidaknya selama lima tahun. Kelompok ini dikaitkan dengan penyebaran sejumlah varian ransomware besar, termasuk Ryuk, REvil, Conti, BlackMatter, BlackCat/ALPHV, LockBit, dan RansomHub.
Dalam kampanye terbaru yang diamati antara 3–16 Februari, target simulasi adalah organisasi nirlaba dengan lebih dari 3.000 endpoint dan 2.500 pengguna.
Akses Awal Lewat ClickFix dan CAPTCHA
Menurut MalBeacon, akses awal diperoleh melalui kampanye malvertising yang mengarahkan korban ke halaman ClickFix yang dikombinasikan dengan tantangan CAPTCHA palsu.
Korban diarahkan untuk menyalin dan menempelkan perintah tersamarkan ke dalam dialog Windows Run. Perintah tersebut memicu rangkaian eksekusi cmd.exe bertingkat dan memanfaatkan finger.exe untuk mengambil loader malware awal.
Salah satu payload dikemas dalam arsip yang menyamar sebagai file PDF.
Aktivitas Pasca-Akses
Setelah berhasil masuk, operator melakukan aktivitas hands-on-keyboard, termasuk:
- Rekonsiliasi dan pemetaan Active Directory
- Host discovery dan profiling lingkungan
- Eksekusi skrip PowerShell untuk mencuri kredensial yang tersimpan di Chrome
Skrip tersebut dihosting pada alamat IP yang dikaitkan dengan staging tool untuk intrusi Termite ransomware.
Pada tahap lanjutan, PowerShell digunakan untuk mengunduh dan menjalankan payload tambahan, mengompilasi komponen .NET menggunakan csc.exe di direktori sementara, serta menyebarkan komponen berbasis Python untuk persistensi di folder C:\ProgramData.
DonutLoader dan CastleRAT
Operasi ini akhirnya menyiapkan DonutLoader dan mengambil backdoor CastleRAT, trojan akses jarak jauh yang terkait dengan loader CastleLoader.
CastleLoader dikenal menyebarkan berbagai keluarga RAT dan infostealer, termasuk LummaStealer.
Meski Velvet Tempest identik dengan serangan double-extortion—mencuri data sebelum mengenkripsi sistem—laporan MalBeacon mencatat bahwa Termite ransomware tidak benar-benar dideploy dalam intrusi yang diamati.
Target Termite Sebelumnya
Termite ransomware sebelumnya mengklaim sejumlah korban besar, termasuk penyedia SaaS Blue Yonder dan perusahaan IVF asal Australia, Genea.
Teknik ClickFix sendiri semakin populer di kalangan kelompok ransomware. Pada April 2025, peneliti keamanan Sekoia melaporkan bahwa geng ransomware Interlock juga menggunakan metode serupa untuk menembus jaringan perusahaan.
Temuan ini menunjukkan evolusi taktik pelaku ransomware yang semakin mengandalkan rekayasa sosial dan utilitas sistem sah untuk menghindari deteksi serta mempercepat infiltrasi.
