Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Malware

Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

// by retasan-news July 18, 2026 6 min read
Ilustrasi Starland RAT malware yang mencuri kredensial browser dan crypto wallet

Aktor ancaman berorientasi finansial yang berbahasa Rusia, dilacak sebagai UAT-11795, telah mengorchestrasi kampanye berskala besar sejak setidaknya Juni 2025. Kampanye ini menggunakan Starland RAT yang berbasis Python yang canggih, bersama implant PowerShell in-memory yang disebut WLDR agent. Operasi ini menargetkan pengguna di Amerika Serikat dan sebagian Eropa, dengan fokus utama pada pencurian kredensial dan pengumpulan cryptocurrency wallet.

APA YANG TERJADI?

Akses awal dicapai melalui social engineering berbasis ClickFix, di mana korban dibujuk untuk menjalankan perintah berbahaya yang meluncurkan HTA file yang di-weaponize via mshta.exe. Tahap ini menjatuhkan trojanized installer yang dibundel dengan Python runtime dan loader yang diobfuscate menyamar sebagai LICENSE.txt, dieksekusi melalui modified NSIS installer script.

Setelah dipicu, Python loader mendecrypt dan menjalankan Starland RAT langsung di memori menggunakan XOR obfuscation (key 0xC6). Malware dirancang untuk lingkungan Windows dan memanfaatkan ctypes untuk secara dinamis resolve Win32 API calls seperti VirtualAllocEx dan CreateRemoteThread, memungkinkan process injection dan eksekusi tanpa static imports. Anti-analysis checks mencakup perbandingan terhadap sandbox usernames dan hostnames yang dikenal, termasuk WDAGUtilityAccount dan lingkungan seperti Cuckoo dan Any.Run.

Starland RAT membangun persistence melalui scheduled tasks (PythonLauncher-{random}) dan shortcut Startup folder, sambil mencoba privilege escalation melalui ShellExecuteW dengan verb runas. Malware melakukan reconnaissance ekstensif, mengumpulkan HWID, ukuran RAM, detail antivirus, dan konteks Active Directory menggunakan perintah seperti Get-CimInstance dan nltest /dclist. Screenshot desktop korban diambil, di-encode, dan di-exfiltrate bersama data profiling sistem.

DETAIL TEKNIS

Kemampuan definisi Starland RAT adalah fokusnya pada pencurian cryptocurrency. Malware mengeksekusi lebih dari 40 browser-based dan desktop wallet applications, mengaggregasi temuan ke dalam encrypted JSON payload (XOR key “helo1”) yang dikirim via HTTP POST menggunakan spoofed Chrome user-agent. Sebelum exfiltration penuh, metadata korban dan keberadaan wallet dikirim ke Telegram bots yang dikontrol penyerang (skuefq_bot dan komandastuk_bot), memberikan visibility real-time ke aset yang dikompromikan.

Infrastruktur C2 didistribusikan dan dirancang untuk menyatu dengan lalu lintas legitimitas. Domain seperti eorthopaedics[.]com dan sastoro[.]com meng-host staged payloads di bawah path menipu seperti /feed/ dan /alpha/, sementara web-devtools[.]com menyampaikan raw shellcode payloads. C2 nodes utama meliputi windowscreenrepairnearme[.]com dan aipythondevs[.]com, dengan komunikasi yang unik terikat ke victim HWIDs yang diturunkan dari disk volume serial numbers.

Yang menarik, aktor ini menggunakan blockchain-based resilience dengan menanamkan fallback mechanism melalui Polygon smart contract (0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba). RAT mengambil backup C2 domain yang ter-encrypt via eth_call requests ke polygon-rpc[.]com, memastikan kontinuitas bahkan jika infrastruktur utama terganggu. Post-compromise activity mencakup delivery payload sekunder seperti CastleStealer (.NET credential dan crypto stealer) dan Remcos RAT untuk remote access persisten.

DAMPAK TERHADAP INDONESIA

Dengan semakin banyaknya pengguna cryptocurrency di Indonesia — termasuk pengguna exchange lokal seperti Indodax, Tokocrypto, dan Pintu — ancaman Starland RAT terhadap crypto wallet menjadi sangat relevan. Malware ini menargetkan lebih dari 40 crypto wallet termasuk browser extensions yang umum digunakan, menjadikannya ancaman langsung terhadap aset digital warga Indonesia.

Teknik ClickFix social engineering yang digunakan untuk akses awal sangat efektif di Indonesia karena banyak pengguna yang terbiasa mengikuti instruksi untuk memperbaiki “error” atau “issue” yang ditampilkan di browser. Pretexts yang menggunakan software populer seperti MobaXterm, DBeaver, WebEx, Zoom, dan FACEIT juga sangat relevan dengan ekosistem software Indonesia. Cisco Talos melaporkan bahwa sebagian besar infeksi terkonsentrasi di AS, namun aktivitas juga diamati di Jerman, Rumania, dan Venezuela — menunjukkan potensi penyebaran global.

Penggunaan Polygon smart contract sebagai fallback C2 menunjukkan evolusi yang mengkhawatirkan dalam resilient malware infrastructure. Teknik ini sangat sulit ditangguhkan karena blockchain tidak dapat dimatikan oleh penegak hukum atau security researcher. Bagi organisasi Indonesia, ini berarti blocking C2 domains/IP saja tidak cukup — perlu pendekatan defense-in-depth yang mencakup monitoring outbound traffic ke blockchain RPC endpoints dan Telegram bot APIs.

REKOMENDASI MITIGASI

Implementasikan application whitelisting untuk memblokir eksekusi mshta.exe, Python interpreter, dan NSIS installers dari lokasi yang tidak sah. Monitor pembuatan scheduled tasks dengan pola PythonLauncher-* dan aktivitas ShellExecuteW dengan verb runas. Deploy EDR yang mampu mendeteksi process injection via VirtualAllocEx dan CreateRemoteThread.

Untuk perlindungan crypto wallet, pastikan browser extension wallets tidak di-autoclick untuk otorisasi transaksi. Gunakan hardware wallet untuk aset cryptocurrency berharga tinggi. Monitor aktivitas wallet secara berkala danaktifkan notifikasi untuk setiap transaksi. Pertimbangkan untuk menggunakan wallet yang memerlukan konfirmasi fisik (hardware button) untuk setiap transaksi.

Implementasikan network monitoring untuk mendeteksi komunikasi ke Telegram Bot API dan Polygon RPC endpoints dari workstation. Audit DNS queries untuk domain yang mengandung pola mencurigakan seperti eorthopaedics, sastoro, web-devtools. Pastikan firewall memblokir akses langsung ke C2 IPs: 104.239.66.86, 46.183.223.21, 107.174.34.137. Implementasikan DNS sinkholing untuk domain C2 yang diketahui.

Analisa Retasan

Starland RAT menunjukkan evolusi signifikan dalam malware berorientasi finansial. Penggunaan Python sebagai bahasa implementasi memberikan fleksibilitas dan kemudahan modifikasi, sementara ctypes memungkinkan akses langsung ke Win32 API tanpa dependensi compiled binary. Namun, aspek paling inovatif dari kampanye ini adalah penggunaan Polygon smart contract sebagai fallback C2 mechanism. Ini menandai pertama kalinya researcher menemukan malware production yang menggunakan blockchain smart contract untuk resilience — sebuah konsep yang sebelumnya hanya dibahas dalam penelitian akademik. Mekanisme ini sangat efektif karena: (1) smart contract tidak dapat dimatikan oleh siapapun, (2) domain backup diambil dari blockchain state yang immutable, dan (3) eth_call adalah operasi read-only yang sulit dibedakan dari aktivitas blockchain legitimitas. Ini menciptakan dimensi baru dalam pertahanan C2 — bukan hanya memblokir IP dan domain, tetapi juga memantau akses ke blockchain infrastructure.

Teknik ClickFix social engineering yang digunakan untuk initial access juga layak mendapat perhatian. Berbeda dengan phishing email tradisional yang hanya membutuhkan klik, ClickFix memanfaatkan keinginan pengguna untuk memperbaiki masalah yang ditampilkan — ini adalah manipulasi psikologis yang lebih canggih. Dalam konteks Indonesia, di mana banyak pengguna masih dalam tahap edukasi keamanan siber, teknik ini sangat efektif. Kampanye yang menggunakan software populer seperti Zoom, WebEx, dan MobaXterm menunjukkan bahwa aktor ini memahami target pasar mereka dengan baik. Fakta bahwa malware mengirimkan metadata dan wallet presence ke Telegram bots sebelum full exfiltration menunjukkan operational maturity — penyerang mendapat visibility real-time ke kualitas target sebelum berinvestasi dalam exfiltration penuh.

Dari sudut pandang pertahanan Indonesia, Starland RAT menekankan pentingnya monitoring tidak hanya untuk malware tradisional, tetapi juga untuk aktivitas cryptocurrency yang mencurigakan. Dengan adanya UU PDP dan meningkatnya adopsi cryptocurrency di Indonesia, organisasi perlu memahami bahwa crypto wallet di browser adalah attack surface yang sama berharganya dengan bank account. Hardware wallet, multi-signature requirements, dan monitoring real-time terhadap wallet activity harus menjadi bagian dari postur keamanan standar. Selain itu, kemampuan blockchain-based C2 resilience berarti bahwa threat hunting harus melampaui traditional IOC (IP, domain) dan mencakup monitoring terhadap blockchain transaction patterns yang tidak biasa dari workstation.

🔗 Sumber: GBHackers — New Starland RAT Steals Browser Credentials and Scans for Over 40 Crypto Wallets

Tags: CastleStealer ClickFix Credential Theft Crypto Wallet Python Remcos Starland RAT Talos UAT-11795 WLDR Agent
Share:

retasan-news

← Previous Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla
Next → Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

Artikel Terkait

Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

July 18, 2026
GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

GoldenEyeDog dan DigiCert: Sertifikat Code-Signing Dicuri untuk Tanda Malware

July 18, 2026
NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

NadMesh Botnet: Serangan AI-Powered Mengincar Layanan Cloud dan Kubernetes Tokens

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.