Kelompok Initial Access Broker (IAB) yang dikenal sebagai KongTuke kini mulai mengubah taktik mereka. Sebelumnya sangat bergantung pada serangan jebakan web “CrashFix” atau “ClickFix” (memalsukan peringatan error pada peramban), kelompok ini kini beralih menggunakan Microsoft Teams untuk melancarkan serangan rekayasa sosial langsung ke karyawan perusahaan.
Menurut laporan terbaru dari peneliti keamanan siber ReliaQuest, dengan metode baru ini, penyerang hanya membutuhkan waktu kurang dari lima menit untuk mendapatkan pijakan persisten (akses jangka panjang) di dalam jaringan internal korban sejak pesan obrolan pertama dikirim.
Modus Operandi: Menyamar Sebagai “IT Support”
Taktik yang digunakan sangat mirip dengan kampanye yang sebelumnya dipopulerkan oleh grup ransomware Black Basta:
- Impersonasi Bantuan Teknis: Penyerang menghubungi karyawan perusahaan melalui fitur obrolan lintas-tenant (eksternal) di Microsoft Teams dengan menyamar sebagai staf help-desk atau divisi IT internal.
- Trik Spasi Unicode: Untuk mengelabui mata korban, penyerang menggunakan trik karakter spasi kosong Unicode (Unicode whitespace tricks) pada display name mereka agar terlihat sah dan identik dengan format penamaan internal perusahaan.
- Jebakan PowerShell: Korban yang percaya kemudian diarahkan untuk menyalin dan menjalankan sebuah baris perintah PowerShell di komputer mereka dengan dalih untuk “memperbaiki masalah sistem” atau “pembaruan keamanan”.
Rantai Infeksi ModeloRAT dan Python Portabel
Alih-alih menggunakan file eksekusi biasa (EXE) yang mudah diblokir oleh antivirus, perintah PowerShell berbahaya tersebut bekerja dengan sangat mulus:
- Skrip akan mengunduh arsip ZIP dari tautan Dropbox yang sah.
- Arsip ini berisi lingkungan WinPython portabel. Dengan membawa instalasi Python mereka sendiri (Bring Your Own Python), penyerang memastikan skrip mereka bisa berjalan meskipun komputer target tidak pernah menginstal Python sebelumnya.
- Sistem portabel inilah yang kemudian memuat dan menjalankan malware utama berbasis Python yang disebut ModeloRAT (terdeteksi sebagai
Pmanager.py).
Setelah aktif, ModeloRAT akan secara otomatis mengumpulkan informasi sistem, jaringan, data pengguna domain, menangkap layar, dan siap mengeksfiltrasi file dari dalam host.
Evolusi ModeloRAT: Desain Persistensi yang Mengakar
Varian ModeloRAT yang digunakan dalam kampanye sejak April 2026 ini jauh lebih canggih dan tangguh dibandingkan operasi KongTuke sebelumnya. Terdapat tiga pembaruan utama yang membuatnya menjadi mimpi buruk bagi tim keamanan:
- Infrastruktur C2 Tahan Banting: Menggunakan kumpulan lima server Command-and-Control dengan sistem failover otomatis dan URL yang diacak.
- Jalur Akses Redundan: Menjalankan beberapa pintu belakang secara independen (RAT utama, reverse shell, dan jalur TCP) di infrastruktur terpisah. Jika pembela jaringan memutus satu koneksi, peretas masih bisa masuk lewat jalur lainnya.
- Persistensi Berlapis: Malware menanamkan dirinya melalui Run keys Registry, proksi VBScript, dan yang paling berbahaya adalah pembuatan Scheduled Tasks (Tugas Terjadwal) berstatus SYSTEM. Bahkan jika malware utama memicu rutinitas penghancuran diri (self-destruct) untuk menyembunyikan jejak dasar, tugas terjadwal ini tidak ikut terhapus dan akan memastikan malware hidup kembali setiap kali sistem di-reboot.
Langkah Mitigasi
Mengingat platform kolaborasi kini menjadi garis depan baru bagi serangan siber, administrator IT sangat disarankan untuk membatasi federasi eksternal Microsoft Teams. Jika komunikasi eksternal sangat dibutuhkan, perusahaan wajib menerapkan allowlist yang hanya mengizinkan komunikasi dengan domain organisasi mitra yang telah diverifikasi dan dipercaya, guna memblokir pesan masuk dari tenant Microsoft 365 bodong milik peretas.