
Cisco Talos mengungkap UAT-11795, pelaku serangan berbahasa Rusia yang bermotivasi finansial dan telah menjalankan kampanye jahat sejak setidaknya Juni 2025. Aktor ini mendistribusikan trojanized installer untuk berbagai perangkat lunak populer dan menggunakan Python-based RAT bernama “Starland RAT” serta C2 memory implant berbasis PowerShell yang dikenal sebagai “WLDR agent.”
APA YANG TERJADI?
Cisco Talos mendokumentasikan UAT-11795, aktor berbahasa Rusia yang secara aktif menjalankan kampanye berbasis finansial dengan menargetkan pengguna di Amerika Serikat dan Eropa sejak Juni 2025. Aktor ini menggunakan pendekatan distribusi opportunistic yang melibatkan trojanized installer dari berbagai kategori perangkat lunak, termasuk MobaXterm (SSH/remote desktop), Cisco WebEx dan Zoom (enterprise video conferencing), DBeaver Community Edition (database management), dan FACEIT (gaming platform). Luasnya perangkat lunak yang di-trojanisasi menunjukkan model distribusi berbasis volume yang menargetkan beberapa profil korban secara simultan.
Infrastruktur aktor terdiri dari dua kategori fungsional: payload staging dan persistent C2. Domain staging termasuk eorthopaedics[.]com (kemungkinan domain yang di-hijack), web-devtools[.]com, dan zynaris[.]io, masing-masing melayani fungsi sempit dalam rantai infeksi. C2 infrastructure didistribusikan dengan mekanisme resiliensi menggunakan Polygon smart contract yang menyimpan domain fallback terenkripsi XOR.
DETAIL TEKNIS
Rantai serangan dimulai dari teknik ClickFix yang memikat korban untuk menjalankan perintah yang men-download file HTA yang di-weaponize melalui mshta.exe. File HTA menjalankan embedded VBScript yang drop Windows batch file ke folder temporary user. Batch file ini mengunduh dan meng-plant trojanized installer dari domain staging yang dikendalikan aktor. Installer yang di-trojanis menggunakan NSIS (Nullsoft Scriptable Install System) yang mem-package runtime Python “pythonw.exe” bersama compiled Python loader yang menyamar sebagai file “LICENSE.txt.”
Starland RAT sendiri merupakan Python-based remote access tool dengan kemampuan luas. Saat eksekusi awal, RAT melakukan anti-analysis check dengan membandingkan username korban dan computer name terhadap daftar hardcoded yang mencakup sandbox service accounts (WDAGUtilityAccount, Cuckoo, Any.Run, Joe Sandbox, Hybrid Analysis). RAT juga memeriksa Zone.Identifier ADS pada installer untuk memastikan file diperoleh melalui browser download. Persistence di-establish melalui scheduled task dengan pola “PythonLauncher-{3 karakter random}” dan shortcut LNK di Startup folder.
RAT mengumpulkan profil korban yang mencakup HWID, total RAM, antivirus terinstall, dan melakukan Active Directory reconnaissance jika host adalah anggota domain. Data dikirimkan dalam format JSON yang di-encrypt XOR dengan key “helo1” dan Base64-encoded ke primary C2. Jika registrasi C2 primary gagal, mekanisme fallback blockchain-anchored diaktifkan melalui eth_call ke Polygon RPC endpoint yang men-target smart contract “0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba.”
WLDR agent merupakan bespoke PowerShell C2 memory implant yang beroperasi sepenuhnya di memori. Agent ini menggunakan encrypted HTTP beaconing dengan AES-256-CBC dan HMAC-SHA256, session keys yang diturunkan melalui PBKDF2-SHA256 sebanyak 5.000 iterasi, dan Runspace execution engine yang mendukung hingga 10 thread concurrent. Agent juga melakukan host reconnaissance via WMI queries yang mengumpulkan informasi antivirus, network adapter, OS version, dan status hak akses admin.
DAMPAK TERHADAP INDONESIA
Kampanye ini memiliki relevansi langsung bagi Indonesia mengingat luasnya penggunaan software seperti Zoom, WebEx, dan MobaXterm di lingkungan korporat dan pemerintah Indonesia. Trojanized installer merupakan vektor distribusi yang sangat efektif di Indonesia di mana banyak pengguna mengunduh perangkat lunak dari sumber tidak resmi. Ancaman terhadap aset kripto juga sangat relevan mengingat pertumbuhan komunitas crypto Indonesia yang signifikan. Penggunaan Polygon smart contract sebagai fallback C2 menunjukkan evolusi teknik resiliensi infrastruktur yang perlu dipahami oleh SOC Indonesia. BSSN dan tim SOCSIRT nasional harus mengintegrasikan IOC dari kampanye ini ke dalam sistem deteksi mereka, termasuk domain staging dan C2 yang diidentifikasi oleh Talos.
REKOMENDASI MITIGASI
Organisasi harus mengimplementasikan application whitelisting untuk memblokir eksekusi installer yang tidak sah. Verifikasi integritas file installer melalui hash kriptografik sebelum eksekusi. Implementasi EDR yang mampu mendeteksi process injection, termasuk APC queue injection yang digunakan Starland RAT. Blokir akses ke Polygon RPC endpoints yang tidak dikenal dan monitor traffic ke domain staging yang teridentifikasi. Aktifkan AMSI dan ETW protection untuk mendeteksi bypass yang digunakan shellcode loader. Pertahankan patch keamanan terbaru pada semua software enterprise, terutama video conferencing dan remote access tools.
Analisa Retasan
Kampanye UAT-11795 menunjukkan evolusi signifikan dalam pendekatan threat actor yang bermotivasi finansial. Penggunaan Starland RAT berbasis Python dengan kemampuan anti-analysis yang canggih, ditambah WLDR C2 agent yang beroperasi sepenuhnya di memori, menunjukkan investment teknis yang substansial. Yang paling menarik adalah penggunaan blockchain sebagai fallback C2 mechanism – smart contract Polygon menyimpan domain C2 terenkripsi yang dapat di-retrieve melalui public JSON-RPC call. Teknik ini sebelumnya telah diamati dalam kampanye APT yang lebih canggih, namun kini diadopsi oleh aktor finansial, menunjukkan konvergensi teknik antara spionase dan cybercrime. Pola ini mirip dengan penggunaan Tor hidden services sebagai C2 fallback yang diamati pada beberapa ransomware operation, namun pendekatan blockchain memberikan availability yang lebih tinggi karena tidak bergantung pada jaringan Tor.
Arsitektur multi-stage campaign ini – dari ClickFix social engineering hingga trojanized installer, Starland RAT sebagai initial implant, dan WLDR agent sebagai persistent C2 – menunjukkan maturity yang mengkhawatirkan. Kemampuan untuk men-deploy CastleStealer (targeting credential dan cryptocurrency), Remcos RAT (full-featured RAT komersial), dan WLDR agent (custom C2 framework) dari satu C2 server menunjukkan fleksibilitas operasional. Shellcode loader yang mampu bypass AMSI dan ETW menggunakan teknik dual – primary patch dan fallback VirtualProtect-based patch – juga menunjukkan pemahaman mendalam tentang mekanisme pertahanan Windows. Keberadaan Russian-language developer comment dalam VBScript dan channel Telegram “stuk komanda” yang aktif sejak Juni 2025 memberikan indikasi attribution yang cukup kuat.
Dari perspektif pertahanan Indonesia, kampanye ini menekankan pentingnya keamanan supply chain software. Banyak organisasi di Indonesia mengunduh dan menginstal perangkat lunak tanpa verifikasi integritas yang memadai, menjadikan trojanized installer sebagai vektor serangan yang sangat efektif. BSSN dan Kementerian Kominfo harus mempertimbangkan penerapan kebijakan software procurement yang lebih ketat, termasuk whitelist vendor resmi dan hash verification untuk semua software yang di-deploy di lingkungan produksi. Untuk pengguna individu, edukasi tentang bahaya mengunduh software dari sumber tidak resmi menjadi sangat penting, mengingat target kampanye ini mencakup software enterprise populer yang sering digunakan di Indonesia.
Sumber: Cisco Talos – UAT-11795 Starland RAT and WLDR C2 Implant

