Infrastruktur C2 Berbasis Blockchain dan P2P Dilumpuhkan, Botnet Glassworm Berhasil Ditumbangkan

Jaringan botnet Glassworm yang selama ini gencar membidik para pengembang perangkat lunak (developers) dalam rangkaian serangan rantai pasok (software supply-chain attacks) akhirnya berhasil dilumpuhkan. Keberhasilan ini tercapai setelah tim peneliti keamanan siber meruntuhkan infrastruktur perintah dan kendali (command-and-control/C2) milik pelaku yang terkenal sangat tangguh karena memanfaatkan transaksi blockchain Solana dan jaringan BitTorrent DHT.

Dalam operasi gabungan yang digelar secara terkoordinasi, perusahaan keamanan siber CrowdStrike, Google, serta lembaga The Shadowserver Foundation berhasil memutus akses operator botnet terhadap empat jalur C2 independen berbeda. Jalur-jalur tersebut sengaja dirancang oleh pelaku agar tahan terhadap upaya pemblokiran konvensional.

Kampanye serangan siber Glassworm sendiri tercatat telah aktif berlangsung sejak Oktober 2025. Pada fase awal, jaringan ini menargetkan para pengembang melalui penyisipan ekstensi berbahaya pada platform OpenVSX dan Microsoft VS Code dengan tujuan menguras dompet aset kripto (cryptocurrency wallets) serta mencuri kredensial akun pengembang.

Seiring berjalannya waktu, gelombang serangan meluas hingga menyasar repositori GitHub dan paket manajer npm. Salah satu kampanye masifnya pada Maret lalu bahkan berdampak pada lebih dari 400 artefak perangkat lunak. Dalam pola serangan yang lebih baru, operator Glassworm kedapatan menanam puluhan ekstensi dorman atau pasif di OpenVSX yang baru akan mengaktifkan komponen berbahaya setelah pengguna melakukan pembaruan aplikasi (update).

Ketahanan ancaman Glassworm di ruang siber dalam waktu yang cukup lama ini tidak lepas dari kecerdikan arsitektur C2 mereka. Mereka memanfaatkan kombinasi teknologi blockchain, jaringan peer-to-peer (P2P), serta layanan web legal sebagai lapisan resolusi dinamis untuk melindungi server C2 asli di balik beberapa lapisan pengalihan.

Para peneliti menjelaskan bahwa melumpuhkan botnet ini membutuhkan tindakan agresif yang menyerang empat saluran C2 miliknya secara serentak, meliputi:

• Blockchain Solana: Alamat server C2 disandikan di dalam bidang memo (memo fields) pada transaksi blockchain. Hal ini menciptakan lokasi penyimpanan data (dead drop) permanen yang tidak dapat dihapus oleh prosedur hukum konvensional.
• BitTorrent Distributed Hash Table (DHT): Perangkat lunak berbahaya GlasswormRAT melakukan kueri ke jaringan P2P BitTorrent untuk mengambil data konfigurasi yang disimpan menggunakan kunci publik terenkripsi, memanfaatkan jaringan terdesentralisasi global tanpa titik kegagalan tunggal (single point of failure).
• Layanan Kalender Publik: Glassworm menggunakan judul acara pada Google Calendar sebagai lokasi dead drop alternatif untuk menyembunyikan jalur C2 yang dikodekan dalam format Base64.
• Koneksi Server Langsung: Infrastruktur C2 tradisional yang disewa melalui penyedia VPS komersial bertindak sebagai mekanisme akhir untuk pengiriman muatan berbahaya (payload delivery).

Melalui arsitektur berlapis ini, pemblokiran pada satu saluran saja tidak akan berdampak besar pada operasional Glassworm. Sistem pada komputer korban akan otomatis mengalihkan jalur komunikasi ke saluran cadangan yang masih aktif sehingga pelaku tetap memegang kendali penuh. Oleh sebab itu, tim gabungan mengeksekusi operasi pemutusan keempat jalur tersebut secara bersamaan, membuat komputer yang terinfeksi kini tidak lagi bisa menerima instruksi baru ataupun mengunduh payload tambahan.

Pasca-operasi pelumpuhan ini, seluruh mesin atau komputer yang telah terkompromi oleh serangan Glassworm dilaporkan melakukan transmisi balik (beaconing) ke alamat IP 164.92.88.210 yang kini telah diambil alih dan dioperasikan oleh CrowdStrike untuk pemantauan. Para pelaku industri dan organisasi disarankan untuk segera memeriksa indikator jaringan tersebut pada sistem mereka serta menerapkan aturan YARA yang telah dipublikasikan peneliti guna mengonfirmasi adanya infeksi laten.