Varian Baru Malware Chaos Serang Cloud yang Salah Konfigurasi dengan Fitur Proxy SOCKS

Varian baru malware Chaos kini menyerang cloud deployments yang salah konfigurasi, menandai perluasan sasaran botnet ini yang sebelumnya fokus pada router dan perangkat edge. Penemuan ini dilaporkan oleh perusahaan keamanan siber Darktrace dalam laporan terbaru mereka.

Perluasan Target Chaos ke Cloud yang Salah Konfigurasi

Chaos pertama kali didokumentasikan oleh Lumen Black Lotus Labs pada September 2022. Malware ini merupakan program lintas platform yang mampu menyerang sistem operasi Windows dan Linux dengan menjalankan perintah shell jarak jauh, menanam modul tambahan, menyebar ke host lain dengan membobol kunci SSH, melakukan cryptomining, serta melancarkan serangan distributed denial-of-service (DDoS) melalui berbagai protokol seperti HTTP, TLS, TCP, UDP, dan WebSocket.

Menurut Darktrace, varian terbaru ini telah berkembang dari malware DDoS sebelumnya bernama Kaiji, yang mengincar instansi Docker yang salah konfigurasi. Meskipun pelaku di baliknya belum diketahui secara pasti, penggunaan karakter bahasa Mandarin dan infrastruktur berbasis di China menunjukkan kemungkinan asal kelompok penyerang dari Negeri Tirai Bambu.

Metode Serangan dan Penemuan Darktrace

Darktrace mendeteksi varian baru ini di jaringan honeypot mereka pada bulan Maret 2026, yaitu sebuah instansi Hadoop yang sengaja salah konfigurasi untuk memungkinkan eksekusi kode jarak jauh. Serangan dimulai dengan permintaan HTTP ke instansi Hadoop untuk membuat aplikasi baru.

Aplikasi tersebut menyisipkan rangkaian perintah shell untuk mengunduh binary agen Chaos dari server yang dikendalikan oleh penyerang (pan.tenire[.]com), mengatur izin akses agar dapat dibaca dan dijalankan oleh semua pengguna (chmod 777), menjalankan binary tersebut, lalu menghapus berkas dari disk agar jejak forensik sulit dilacak.

Menariknya, domain tersebut sebelumnya digunakan dalam kampanye phishing email oleh kelompok kejahatan siber China bernama Silver Fox untuk menyebarkan dokumen palsu dan malware ValleyRAT. Kampanye itu diberi kode nama Operation Silk Lure oleh Seqrite Labs pada Oktober 2025.

Fitur Baru: Proxy SOCKS dan Perubahan Fungsi

Varian 64-bit ELF ini merupakan versi yang direstrukturisasi dan diperbarui dari Chaos yang mempertahankan sebagian besar fitur inti, namun menghilangkan fungsi penyebaran lewat SSH dan eksploitasi kerentanan router.

Penggantinya adalah fitur proxy SOCKS yang memungkinkan sistem yang terinfeksi digunakan untuk mengalihkan lalu lintas data. Hal ini menyamarkan asal sebenarnya dari aktivitas jahat dan membuat deteksi serta pemblokiran serangan menjadi lebih sulit bagi tim keamanan.

Darktrace juga mencatat bahwa beberapa fungsi yang sebelumnya diduga diwarisi dari Kaiji telah diubah secara signifikan, menandakan bahwa pelaku telah menulis ulang atau memodifikasi malware secara mendalam.

Implikasi Monetisasi Botnet dan Risiko untuk Organisasi

Penambahan fitur proxy ini menunjukkan pelaku di balik Chaos berusaha memonetisasi botnet tidak hanya melalui cryptomining dan serangan DDoS sewaan, tetapi juga dengan menawarkan layanan proxy ilegal yang bisa digunakan untuk berbagai aktivitas jahat lainnya.

"Meski Chaos bukan malware baru, evolusinya yang berkelanjutan memperlihatkan dedikasi pelaku kejahatan siber dalam memperluas botnet dan meningkatkan kapabilitas yang mereka miliki," kata Darktrace. "Perubahan baru-baru ini pada botnet seperti AISURU dan Chaos yang memasukkan layanan proxy sebagai fitur inti menunjukkan bahwa serangan DDoS bukan lagi satu-satunya risiko yang dihadapi organisasi dan tim keamanan mereka."

Analisis Redaksi

Menurut pandangan redaksi, perkembangan varian Chaos yang kini menyasar cloud deployments adalah peringatan serius bagi sektor keamanan cloud di Indonesia dan dunia. Cloud yang salah konfigurasi menjadi pintu masuk empuk bagi pelaku kejahatan siber untuk menyusup dan memanfaatkan sumber daya dengan berbagai tujuan ilegal.

Fitur proxy SOCKS yang baru disematkan tidak hanya memperumit upaya deteksi, tapi juga membuka potensi penyalahgunaan yang lebih luas, seperti pencucian jejak dalam serangan siber atau bahkan aktivitas kejahatan siber lain yang sulit dilacak. Ini mengindikasikan tren yang mengarah pada diversifikasi layanan ilegal dalam ekosistem botnet, yang dapat menggandakan ancaman bagi perusahaan dan infrastruktur kritikal.

Ke depan, organisasi harus meningkatkan pengawasan konfigurasi cloud dan menerapkan solusi keamanan yang mampu mendeteksi pola serangan canggih. Selain itu, kolaborasi antara penyedia layanan cloud, pakar keamanan, dan penegak hukum menjadi kunci dalam menanggulangi ancaman dinamis ini.

Untuk informasi lebih lanjut mengenai evolusi malware dan ancaman siber terkini, Anda bisa membaca laporan lengkap dari The Hacker News dan mengikuti berita dari sumber terpercaya lainnya.