
Palo Alto Networks Unit 42 mengungkap kerangka kerja (framework) botnet IoT modular baru bernama TuxBot v3 Evolution yang dikembangkan dengan bantuan large language model (LLM). Temuan paling mencolok adalah sang developer lupa menghapus disclaimer keamanan dari LLM yang tersemat di 61 file sumber C, serta meninggalkan seluruh reasoning chain-of-thought AI dalam komentar kode. Framework ini cross-compile untuk 17 arsitektur, dilengkapi panel DDoS-for-hire, dan telah ditemukan enam sample baru di telemetri internal pada April 2026.
APA YANG TERJADI?
Unit 42 menganalisis kerangka kerja TuxBot v3 yang berisi 61 file sumber C, masing-masing membawa header peringatan identik bertuliskan “this code is for educational and authorized security research only.” Peringatan ini berasal dari LLM yang digunakan developer untuk menulis kode dan tidak pernah dihapus sebelum distribusi binary. Selain disclaimer, alur pemikiran mentah LLM juga ditinggalkan secara verbatim dalam komentar kode, termasuk kalimat seperti “// I created them so I should know?” dan “// Wait, where is the command?” — bukti nyata bahwa AI sedang berbicara dengan dirinya sendiri dan dipertahankan untuk kemasyhuran dalam botnet yang berfungsi penuh.
DETAIL TEKNIS
Framework ini mencakup bot agent berbasis C yang cross-compile untuk 17 arsitektur termasuk ARM, MIPS, PowerPC, RISC-V, dan x86_64. Disertai server C2 (command-and-control) berbasis Go dengan panel DDoS-for-hire, custom exploit virtual machine, infrastruktur berbasis Docker untuk pengujian, dan sistem build otomatis. Bot melakukan brute-force terhadap akses Telnet dengan 1.496 credential pairs dan berisi kode exploit yang menargetkan lebih dari 30 keluarga perangkat IoT.
Masalah kritis utama terletak pada kegagalan LLM dalam modul autentikasi C2. Developer meminta implementasi Argon2id untuk password hashing, namun LLM gagal mengimpor library yang tepat dan melakukan fallback ke SHA256 loops. Anehnya, LLM tetap mempertahankan komentar Argon2id, konstanta, dan format output termasuk return value yang diformat sebagai “$argon2id$v=19$…” padahal isinya bukan Argon2id sama sekali. Selain itu, terdapat mismatch XOR key yang memecahkan IRC fallback channel, empat payload exploit, dan HTTP polling. Custom exploit VM tidak pernah aktif karena Go compiler menulis file magic sebagai “TUXE” sementara runtime C mengharapkan “EXPL.” Enam belas fungsi exploit dikompilasi sebagai dead code yang tidak pernah dipanggil. Tujuh puluh delapan vektor serangan dipetakan ke enam handler, di mana seluruh method HTTP application-layer secara senyap diarahkan ke TCP SYN floods.
Analisis infrastruktur mengungkap C2 di 209.182.237[.]133 yang aktif sejak Maret 2026. Git log developer membocorkan hostname workstation yang mengarah ke mesin yang di-hosting di Iran, dan domain induk digikalas[.]online resolve ke Arvan Cloud CDN Iran. Infrastruktur dropper bersama di 185.10.68[.]127 pada FlokiNET menghubungkan TuxBot ke tooling Kaitori v3.9 dan AISURU, menempatkan operator dalam ekosistem Keksec yang dikenal menjalankan beberapa varian botnet IoT secara paralel.
DAMPAK TERHADAP INDONESIA
Indonesia memiliki jutaan perangkat IoT yang terhubung ke internet, mulai dari router rumah tangga, IP camera, perangkat smart home, hingga perangkat industri. Dengan penetrasi internet yang terus meningkat dan adopsi teknologi smart device yang pesat, kerentanan brute-force Telnet menjadi ancaman serius. TuxBot v3 yang menargetkan 30 keluarga perangkat IoT berpotensi menginfeksi perangkat-perangkat tersebut untuk dimasukkan ke dalam botnet DDoS. BSSN telah mencatat peningkatan serangan DDoS terhadap infrastruktur pemerintah dan sektor perbankan Indonesia. Dengan adanya panel DDoS-for-hire yang terintegrasi dalam framework ini, biaya untuk melakukan serangan DDoS skala besar menjadi semakin rendah dan dapat diakses oleh aktor berbahaya dengan kemampuan teknis minimal. Organisasi Indonesia perlu memastikan bahwa perangkat IoT di jaringan mereka tidak menggunakan credential default dan menonaktifkan akses Telnet yang tidak diperlukan sesuai dengan pedoman keamanan siber dari BSSN.
REKOMENDASI MITIGASI
Ganti seluruh credential default pada perangkat IoT dan nonaktifkan akses Telnet yang tidak diperlukan. Terapkan network segmentation untuk memisahkan perangkat IoT dari jaringan utama. Monitor traffic outbound yang mencurigakan terutama ke port IRC dan port non-standar yang digunakan oleh C2. Implementasikan IDS/IPS untuk mendeteksi pola scanning Telnet dan SSH dari dalam jaringan. Perbarui firmware perangkat IoT secara berkala dan hapus perangkat yang sudah tidak mendapat dukungan vendor. Untuk ISP dan penyedia layanan internet, terapkan BCP38/BCP84 untuk memfilter IP spoofing yang sering digunakan dalam serangan DDoS. Pantau juga infrastruktur yang disebutkan dalam IoC untuk memblokir komunikasi dengan C2 TuxBot.
Analisa Retasan
Temuan TuxBot v3 oleh Unit 42 menjadi studi kasus menarik tentang dampak penggunaan AI dalam pengembangan malware. Fakta bahwa LLM secara literal meninggalkan disclaimer keamanannya sendiri dalam kode botnet menunjukkan ironi yang tajam, namun yang lebih mengkhawatirkan adalah fakta bahwa AI berhasil menghasilkan framework botnet cross-compiler untuk 17 arsitektur yang sekitar 70% fungsional. Bagian yang bekerja mencakup seluruh infection flow inti: scanning, brute-force credential, persistensi, setup C2 utama, dan eksekusi DDoS. Kegagalan yang terjadi hampir seluruhnya berasal dari bug yang diperkenalkan oleh LLM, bukan kesalahan fundamental dalam desain arsitektur botnet.
Dalam konteks historis, evolusi botnet IoT dimulai dari Mirai pada tahun 2016 yang menunjukkan betapa rentannya perangkat IoT terhadap serangan. TuxBot v3 melangkah lebih jauh dengan mengintegrasikan DGA (Domain Generation Algorithm), C2 terenkripsi, dan custom exploit VM — meskipun fitur terakhir belum berfungsi dalam versi yang dianalisis. Unit 42 mencatat bahwa mereka mampu memperbaiki bug LLM ini dengan beberapa prompt yang ditargetkan, yang mengindikasikan bahwa versi yang sudah diperbaiki kemungkinan besar sudah beredar di alam liar. Penggunaan infrastruktur bulletproof hosting dan koneksi ke ekosistem Keksec yang sudah mapan menunjukkan bahwa ini bukan proyek amatiran, melainkan operasi terstruktur yang serius.
Bagi Indonesia, botnet IoT berskala besar seperti TuxBot menjadi ancaman langsung terhadap infrastruktur digital nasional. Dengan jutaan perangkat IoT yang berpotensi rentan, Indonesia dapat menjadi salah satu negara dengan jumlah bot terbesar yang dimanfaatkan untuk serangan DDoS lintas batas negara. BSSN dan ISP perlu berkolaborasi lebih erat untuk menerapkan BCP38 secara efektif dan membangun kemampuan deteksi anomali traffic IoT. Dalam era UU PDP, organisasi yang infrastruktur digitalnya terganggu oleh DDoS dari botnet seperti TuxBot juga memiliki kewajiban untuk melaporkan insiden tersebut, menjadikan pertahanan terhadap ancaman ini bukan sekadar urusan teknis, melainkan juga urusan kepatuhan regulasi.
Sumber: Security Affairs – TuxBot v3: The IoT Botnet Built With AI


