Malware KadNap Serang 14.000+ Router Asus, Bangun Botnet Proxy Tersembunyi

Peneliti keamanan siber baru-baru ini mengungkap malware bernama KadNap yang menyerang lebih dari 14.000 perangkat edge, terutama router Asus, untuk membangun sebuah botnet proxy tersembunyi yang mengalihkan lalu lintas jahat. Malware ini pertama kali terdeteksi pada Agustus 2025 dan telah menyebar secara signifikan, dengan mayoritas korban berada di Amerika Serikat, serta infeksi yang lebih sedikit terdeteksi di Taiwan, Hong Kong, Rusia, Inggris, Australia, Brasil, Prancis, Italia, dan Spanyol.

Metode Kendali Botnet KadNap dengan Protokol DHT Peer-to-Peer

Menurut laporan dari tim Black Lotus Labs di Lumen, KadNap menggunakan versi khusus protokol Kademlia Distributed Hash Table (DHT) yang berfungsi untuk menyembunyikan alamat IP infrastruktur kendali botnet di dalam sistem peer-to-peer, sehingga sulit dideteksi oleh sistem pemantauan jaringan tradisional.

Perangkat yang terinfeksi menggunakan protokol DHT ini untuk menemukan dan terhubung ke server kendali (command-and-control/C2), membuat jaringan botnet ini tahan terhadap upaya pemutusan dan gangguan.

Setelah perangkat berhasil dikompromikan, perangkat tersebut kemudian disewakan melalui layanan proxy bernama Doppelgänger (doppelganger[.]shop). Layanan ini diduga merupakan rebranding dari Faceless, layanan proxy yang sebelumnya terkait dengan malware TheMoon. Situs resmi Doppelgänger mengklaim menawarkan proxy residensial di lebih dari 50 negara dengan jaminan "100% anonimitas" dan mulai beroperasi sejak Mei/Juni 2025.

Cara Kerja Infeksi dan Persistensi Malware KadNap

Selain fokus pada router Asus, operator KadNap juga menargetkan berbagai perangkat jaringan edge lainnya. Inti serangan adalah sebuah skrip shell bernama aic.sh yang diunduh dari server C2 (212.104.141[.]140) dan bertanggung jawab untuk merekrut perangkat korban ke dalam jaringan P2P.

1. Skrip ini membuat tugas cron job untuk menarik skrip dari server setiap pukul 55 menit setiap jam, mengganti namanya menjadi .asusrouter, dan menjalankannya.
2. Setelah persistensi tercapai, skrip mengunduh file ELF berbahaya, menggantinya menjadi "kad", dan mengeksekusinya, memicu pemasangan KadNap.
3. Malware ini mendukung perangkat dengan prosesor ARM dan MIPS.

KadNap juga terhubung ke server Network Time Protocol (NTP) untuk mendapatkan waktu saat ini dan menyimpan waktu up-time perangkat. Data ini digunakan untuk membuat hash yang membantu menemukan peer lain dalam jaringan terdesentralisasi untuk menerima perintah atau mengunduh file tambahan.

Beberapa file tambahan, seperti fwr.sh dan /tmp/.sose, berfungsi menutup port 22 (SSH) pada perangkat yang terinfeksi dan mengekstrak daftar alamat IP dan port server C2 untuk koneksi.

"Penggunaan inovatif protokol DHT memungkinkan malware ini membangun saluran komunikasi yang tangguh dan sulit diganggu, dengan bersembunyi dalam lalu lintas peer-to-peer yang sah," ujar Lumen dalam laporannya.

Variasi Komunikasi dan Implikasi Keamanan

Analisis lebih lanjut menunjukkan bahwa tidak semua perangkat yang terinfeksi berkomunikasi dengan semua server C2, mengindikasikan bahwa infrastruktur dikategorikan berdasarkan tipe dan model perangkat. Hal ini menambah kompleksitas upaya mitigasi.

Menurut Black Lotus Labs, bot yang disewakan melalui Doppelgänger sedang disalahgunakan oleh pelaku ancaman di dunia maya. Karena perangkat Asus dan perangkat lain sering kali juga terinfeksi malware lain, sulit menentukan siapa yang bertanggung jawab atas aktivitas jahat tertentu.

Pengguna router SOHO (Small Office/Home Office) sangat disarankan untuk:

• Memperbarui perangkat secara rutin
• Merestart perangkat secara berkala
• Mengganti kata sandi default dengan yang kuat
• Mengamankan antarmuka manajemen perangkat
• Mempertimbangkan penggantian perangkat yang sudah tidak didukung (end-of-life)

Ancaman Baru di Linux: ClipXDaemon

Selain KadNap, perusahaan keamanan Cyble mengungkap malware baru bernama ClipXDaemon yang menargetkan pengguna cryptocurrency di lingkungan Linux X11 dengan cara mencuri dan menggantikan alamat wallet yang disalin pengguna.

Malware ini menggunakan framework post-exploitasi Linux bernama ShadowHS dan beroperasi sepenuhnya di memori tanpa meninggalkan jejak permanen. ClipXDaemon menggunakan teknik penyamaran proses dan menghindari sesi Wayland, yang memiliki kontrol keamanan clipboard lebih ketat.

Malware memantau clipboard setiap 200 milidetik dan menggantikan alamat cryptocurrency dengan alamat wallet milik penyerang. Targetnya mencakup Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple, dan TON.

"ClipXDaemon berbeda dari malware Linux tradisional karena tidak memiliki logika C2, tidak melakukan beaconing, dan tidak memerlukan pengendalian jarak jauh. Ia langsung memonetisasi korban dengan mencuri alamat wallet cryptocurrency," jelas Cyble.

Analisis Redaksi

Menurut pandangan redaksi, munculnya malware seperti KadNap yang memanfaatkan protokol DHT peer-to-peer menandai evolusi signifikan dalam cara botnet dikendalikan. Dengan menghilangkan ketergantungan pada server C2 tunggal, pelaku kejahatan siber semakin sulit dilacak dan dihentikan, sehingga memperbesar risiko serangan siber skala besar yang memanfaatkan perangkat rumah tangga dan SOHO yang rentan.

Ini juga menjadi peringatan keras bagi pengguna untuk tidak mengabaikan keamanan perangkat jaringan mereka, terutama yang sudah berumur dan tidak mendapat pembaruan keamanan. Produsen perangkat pun harus lebih responsif dalam menyediakan patch dan mengedukasi pengguna agar tidak menjadi sasaran botnet.

Sementara itu, ClipXDaemon menunjukkan tren baru pada malware Linux yang tidak mengandalkan komunikasi C2 tradisional, melainkan langsung memanen keuntungan melalui pencurian alamat wallet cryptocurrency. Ini menjadi sinyal bahwa pengguna cryptocurrency perlu lebih waspada terutama pada sistem Linux yang selama ini dianggap relatif aman.

Ke depan, masyarakat dan pelaku industri keamanan harus mengantisipasi peningkatan serangan yang semakin canggih dan terdesentralisasi, serta meningkatkan kolaborasi dalam deteksi dan mitigasi ancaman ini.

Terus ikuti perkembangan terbaru dari kami untuk informasi dan solusi terkini seputar keamanan siber.