Malware VOID#GEIST Multi-Tahap Serang dengan XWorm, AsyncRAT, dan Xeno RAT

Peneliti keamanan siber baru-baru ini mengungkap kampanye malware multi-tahap bernama VOID#GEIST yang menggunakan batch script sebagai jalur utama untuk menyebarkan berbagai payload trojan akses jarak jauh (RAT) terenkripsi termasuk XWorm, AsyncRAT, dan Xeno RAT.

Metode Serangan dan Teknik Injeksi Malware VOID#GEIST

Kampanye ini menggunakan batch script yang disamarkan untuk meluncurkan skrip batch kedua, menyisipkan runtime Python resmi yang disematkan, dan mendekripsi shellcode terenkripsi yang kemudian dieksekusi langsung di memori dengan melakukan injeksi ke proses "explorer.exe" menggunakan teknik Early Bird Asynchronous Procedure Call (APC) injection.

"Kampanye malware modern semakin beralih dari eksekutabel berdiri sendiri ke kerangka pengiriman berbasis skrip kompleks yang meniru aktivitas pengguna sah," ujar peneliti Akshay Gaikwad, Shikha Sangwan, dan Aaron Beardslee dalam laporan teknisnya.

Teknik ini memungkinkan malware beroperasi tanpa meninggalkan jejak di disk, sehingga sulit dideteksi oleh sistem keamanan, dan setiap tahap malware tampak seperti aktivitas administratif biasa yang tidak mencurigakan.

Awal Infeksi dan Persistensi Malware

Serangan dimulai dari skrip batch yang diunduh dari domain TryCloudflare dan disebarkan melalui email phishing. Skrip ini sengaja tidak mencoba meningkatkan hak akses, melainkan menggunakan hak pengguna yang sedang aktif untuk melancarkan serangan, sehingga tampak seperti aktivitas administratif yang wajar.

Salah satu taktik pengalih perhatian dilakukan dengan membuka dokumen PDF palsu (biasanya faktur atau dokumen keuangan) menggunakan Google Chrome dalam mode layar penuh, sehingga korban fokus pada tampilan tersebut sementara malware berjalan diam-diam di belakang layar.

Untuk memastikan persistensi, skrip batch tambahan ditempatkan pada folder Startup Windows pengguna, yang dieksekusi setiap kali sistem menyala. Metode ini menghindari penggunaan metode persistensi yang lebih agresif seperti modifikasi registri sistem atau penjadwalan tugas, sehingga mengurangi kemungkinan terdeteksi.

"Metode persistensi ini berjalan sepenuhnya dalam konteks hak pengguna saat ini tanpa memodifikasi registri sistem atau membuat layanan, sehingga mengurangi potensi pemicu alarm keamanan," jelas para peneliti.

Pengunduhan dan Eksekusi Payload RAT

Setelah tahap awal, malware mengunduh beberapa berkas ZIP dari domain TryCloudflare yang berisi:

• runn.py: skrip Python loader untuk mendekripsi dan menyuntikkan payload shellcode ke memori
• new.bin: payload shellcode terenkripsi untuk XWorm
• xn.bin: payload shellcode terenkripsi untuk Xeno RAT
• pul.bin: payload shellcode terenkripsi untuk AsyncRAT
• a.json, n.json, p.json: berkas kunci dekripsi yang diperlukan loader Python

Setelah diekstrak, malware menjalankan runtime Python asli yang diunduh langsung dari python[.]org, yang membuatnya independen dari keberadaan Python di sistem korban. Strategi ini meningkatkan portabilitas, keandalan, dan kemampuan stealth malware.

Tujuan utama adalah menjalankan skrip runn.py untuk mendekripsi dan menjalankan payload XWorm menggunakan teknik injeksi Early Bird APC. Selain itu, malware juga menggunakan berkas AppInstallerPythonRedirector.exe milik Microsoft yang sah untuk menjalankan Python dan meluncurkan Xeno RAT, serta pada tahap terakhir untuk menjalankan AsyncRAT dengan mekanisme injeksi serupa.

Komunikasi dengan Server Penyerang dan Arsitektur Modular

Setelah semua tahap selesai, malware mengirimkan beacon HTTP minimal ke server Command and Control (C2) yang dihosting di TryCloudflare sebagai konfirmasi bahwa infeksi berhasil.

Target serangan dan keberhasilan kompromi sejauh ini belum terungkap.

"Polanya yang berulang dalam menyuntikkan proses ke explorer.exe menunjukkan arsitektur modular malware," ungkap Securonix. "Alih-alih mengirim satu payload besar, penyerang mengirim komponen secara bertahap, meningkatkan fleksibilitas dan ketahanan."

Dari sisi deteksi, injeksi berulang pada explorer.exe dalam waktu singkat menjadi indikator perilaku kuat untuk mengidentifikasi serangan ini.

Analisis Redaksi

Menurut pandangan redaksi, metode multi-tahap dan penggunaan skrip batch serta runtime Python resmi ini menunjukkan tren malware yang semakin canggih dalam menghindari deteksi tradisional berbasis file dan aktivitas mencurigakan di disk. Penggunaan teknik injeksi ke proses sistem yang sah seperti explorer.exe dan embedding runtime resmi memperlihatkan bagaimana penyerang menggabungkan keaslian komponen dengan teknik stealth untuk memperpanjang masa aktif malware di sistem korban.

Selain itu, persistensi yang hanya mengandalkan folder Startup pengguna tanpa mengubah registri atau layanan sistem menunjukkan strategi yang sengaja menghindari alarm keamanan dan pemantauan registri yang umum digunakan oleh solusi keamanan endpoint.

Ke depan, para profesional keamanan harus meningkatkan pemantauan perilaku proses dan penggunaan teknik deteksi memory injection untuk mencegah eksploitasi serupa. Juga perlu penguatan edukasi pengguna agar waspada terhadap email phishing yang menjadi pintu masuk utama kampanye ini.

Terus ikuti perkembangan terbaru terkait kampanye VOID#GEIST dan ancaman siber lain dengan mengikuti sumber terpercaya dan meningkatkan kesadaran keamanan organisasi Anda.