Pada 7 Mei 2025, tim Threat Intelligence Google melaporkan bahwa COLDRIVER, kelompok spionase siber yang didukung Rusia, telah mengembangkan varian malware baru bernama “LOSTKEYS.” Malware ini menandai pergeseran dari taktik phishing tradisional kelompok menuju serangan siber yang lebih canggih.
Fitur Utama Malware LOSTKEYS:
Eksfiltrasi Data: LOSTKEYS dirancang untuk mencuri berkas dari ekstensi dan direktori tertentu pada sistem yang terinfeksi.
Pengawasan Sistem: Malware mengumpulkan informasi sistem terperinci dan memantau proses yang berjalan, lalu mengirim data tersebut kembali ke server COLDRIVER.
Proses Penyebaran Canggih:
Situs umpan menampilkan CAPTCHA palsu kepada pengguna.
Skrip PowerShell diunduh ke clipboard pengguna.
Skrip dijalankan untuk mengambil payload akhir.
Malware diinstal pada sistem.
Google telah mengidentifikasi alamat IP “165.227.148[.]68” terkait aktivitas berbahaya ini, dan menambahkan situs web terkait ke fitur Safe Browsing untuk melindungi pengguna.
Latar Belakang COLDRIVER:
COLDRIVER, juga dikenal dengan alias Blue Callisto, BlueCharlie, dan Star Blizzard, aktif sejak setidaknya 2019. Kelompok ini terkait dengan Dinas Keamanan Federal Rusia dan dikenal menargetkan individu dan organisasi barat terkemuka, termasuk afiliasi NATO, LSM, dan jurnalis, untuk mengumpulkan intelijen demi kepentingan strategis Rusia.
Awal 2025, COLDRIVER menargetkan penasihat pemerintah barat, personel militer, dan individu yang terhubung dengan Ukraina. Sebelumnya, pada 2022, kelompok ini bertanggung jawab atas pelanggaran di tiga laboratorium riset nuklir AS dan kebocoran email mantan kepala intelijen Inggris Richard Dearlove serta tokoh pro-Brexit.
Implikasi:
Munculnya LOSTKEYS menegaskan lanskap ancaman yang terus berkembang dari pelaku siber yang didukung negara. Organisasi, terutama di sektor pemerintah dan non-pemerintah, disarankan untuk meningkatkan langkah keamanan siber, waspada terhadap upaya phishing, dan memastikan sistem diperbarui untuk mengurangi kerentanan.