Skip to content
[ root@retasan:~# Tuesday, Jul 14, 2026 ]

> Retasan_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Malware Exploit Development Kebijakan Keamanan Cyberwarfare Tools Data Breach Iklan
Tools

Woopsie: C2 Agent Mythic Cross-Platform Berbasis Java dengan Dual Build Mode dan GraalVM Native

// by retasan-news July 14, 2026 6 min read
Java C2 Agent Cross-Platform

Beberapa hari setelah rilisnya Poopsie, MythicAgents organization juga merilis Woopsie — sebuah C2 agent cross-platform yang ditulis dalam Java dengan pendekatan arsitektural yang sangat berbeda. Woopsie dirancang untuk berjalan dalam dua build mode: JAR (Java Archive) konvensional yang memerlukan JVM, dan native executable yang dikompilasi menggunakan GraalVM Native Image tanpa memerlukan JVM di sistem target. Dual build mode ini memberikan fleksibilitas unik yang belum pernah terlihat sebelumnya dalam ekosistem C2 agent, memungkinkan operator memilih antara portabilitas JAR yang universal atau OPSEC native yang lebih sulit dideteksi.

Woopsie juga dikembangkan oleh @haha150 — developer yang sama di balik Poopsie — yang menunjukkan bahwa kedua agent ini dirancang sebagai komplementer satu sama lain. Sementara Poopsie ditulis dalam Nim dan berfokus pada lightweight binary dengan fitur token impersonation yang canggih, Woopsie ditulis dalam Java dan berfokus pada portabilitas lintas platform dengan dukungan JVM yang universal. Kombinasi kedua agent ini memberikan tim red team opsi yang sangat luas: Poopsie untuk operasi yang memerlukan binary ringan dan OPSEC tinggi, Woopsie untuk operasi di lingkungan yang sudah memiliki JVM atau ketika diperlukan portabilitas lintas platform termasuk macOS.

Fitur unggulan Woopsie adalah dual build mode-nya. Mode JAR menghasilkan file woopsie.jar dengan ukuran sekitar 5.2MB yang bisa berjalan di sistem manapun yang memiliki Java 17+ terinstal. Mode ini sangat portabel — satu file JAR bisa berjalan di Windows, Linux, dan macOS tanpa kompilasi ulang. Mode native menggunakan GraalVM Native Image untuk mengkonversi bytecode Java menjadi native executable (woopsie.bin untuk Linux atau woopsie.exe untuk Windows). Mode native tidak memerlukan JVM di sistem target, menghasilkan binary yang lebih kecil dan lebih OPSEC-friendly karena tidak terlihat sebagai proses Java di task manager atau dalam list dependencies sistem.

Dukungan C2 profile Woopsie mencakup tiga mode utama: HTTP, HTTPX, dan WebSocket. HTTP profile menawarkan komunikasi dasar dengan callback host dan port yang dikonfigurasi. HTTPX profile adalah versi yang lebih canggih dengan transform chains (XOR, Base64/Base64URL, prepend/append), domain rotation (round-robin, random, fail-over), multiple URIs untuk endpoint randomization, dan smart JavaScript obfuscation handling. WebSocket profile menyediakan persistent bi-directional connection yang mendukung ws:// dan wss://, dengan automatic reconnection dan ping/pong keepalive. Tiga profile ini memberikan operator kemampuan untuk menyesuaikan komunikasi C2 dengan kondisi network monitoring yang berbeda di setiap target environment.

Perintah-perintah yang didukung oleh Woopsie mencakup suite lengkap post-exploitation capabilities. Untuk file operations: cat, cd, cp, download, ls, mkdir, rm, upload, dan pwd. Untuk process execution: run untuk shell command, pty untuk interactive pseudo-terminal, dan coff_loader untuk menjalankan Beacon Object Files (BOF) di Windows. Untuk token manipulation: make_token untuk membuat logon session dengan credential user lain, steal_token untuk mencuri token dari proses target berdasarkan PID, dan rev2self untuk mengembalikan ke token asli. Untuk informasi gathering: ps, screenshot, whoami, dan socks untuk SOCKS5 proxy.

Yang menarik dari implementasi coff_loader pada Woopsie adalah penggunaan JNA (Java Native Access) sebagai jembatan antara bytecode Java dan native code. BOF execution memerlukan akses langsung ke memory management dan syscall Windows yang tidak tersedia dalam standard Java API. Dengan JNA, Woopsie bisa melakukan alloc memory, menyalin BOF code, dan menjalankannya secara langsung tanpa perlu komponen native tambahan. Ini adalah contoh yang sangat baik dari bagaimana Java, yang secara tradisional dianggap tidak cocok untuk tool offensive karena JVM footprint-nya, bisa diadaptasi untuk kebutuhan keamanan siber dengan kreativitas yang memadai.

Integrasi Woopsie dengan Mythic framework sangat mulus karena diaktifkan melalui mythic-cli — tool command-line bawaan Mythic. Installation cukup dilakukan dengan satu perintah: sudo ./mythic-cli install github https://github.com/haha150/woopsie, lalu payload bisa dibuat langsung dari Mythic UI dengan memilih output format (JAR atau native), C2 profile, dan parameter callback. Untuk native build di Windows, Woopsie mendukung remote build melalui SSH ke Windows VM yang sudah terinstal GraalVM dan Maven — sebuah pendekatan yang cerdik karena native-image compilation memerlukan toolchain yang berat, namun setelah binary dihasilkan, binary tersebut bisa di-deploy ke target tanpa memerlukan toolchain apapun.

Aspek keamanan build Woopsie juga patut mendapat perhatian. Seluruh komunikasi C2 dienkripsi menggunakan AES (dengan kunci AESPSK yang di-generate oleh Mythic). HTTPX profile menawarkan transform chains yang bisa dikombinasikan untuk obfuscation: XOR encoding, Base64 encoding, dan penambahan prefix/suffix untuk menyamarkan traffic. Domain rotation memungkinkan failover ke domain alternatif jika satu domain diblokir atau ditakedown. User-Agent bisa dikustomisasi untuk blend-in dengan traffic browser normal di target environment. Kombinasi fitur-fitur ini menjadikan Woopsie C2 traffic yang sangat sulit dibedakan dari traffic web normal oleh Network Detection and Response (NDR) solution.

Dari perspektif OPSEC, native build Woopsie memiliki beberapa keunggulan signifikan dibandingkan JAR build. Binary native tidak meninggalkan artefak Java di sistem target — tidak ada JVM process, tidak ada .java files, tidak ada Java-related entries di system PATH atau registry. Process native Woopsie juga lebih sulit dideteksi oleh behavioral analysis karena tidak menunjukkan pola execution yang khas Java seperti class loading, bytecode verification, atau JIT compilation. Di sisi lain, JAR build memiliki keunggulan portabilitas yang sangat besar karena satu file bisa berjalan di semua platform tanpa kompilasi ulang, menjadikannya pilihan ideal untuk operasi yang melibatkan multiple target dengan OS berbeda.

Analisa Retasan

Woopsie menandai evolusi yang menarik dalam desain C2 agent — konsep dual build mode di mana satu codebase bisa menghasilkan output yang sangat berbeda tergantung kebutuhan operasional. Dari sudut pandang attacker, ini berarti satu tool bisa digunakan untuk berbagai skenario: JAR untuk quick deployment, native untuk operasi OPSEC-sensitive. Dari sudut pertahanan, ini menambah kompleksitas deteksi karena behavioral signature yang berbeda untuk JAR vs native build perlu dipantau secara terpisah.

Yang paling mengkhawatirkan dari Woopsie adalah betapa mudahnya mengintegrasikan C2 agent lengkap ke dalam lingkungan yang sudah menggunakan Java. Banyak application server, middleware, dan enterprise application di Indonesia berjalan di atas JVM. Dalam lingkungan seperti ini, keberadaan proses Java tambahan atau JAR execution tidak akan menimbulkan kecurigaan — agent Woopsie bisa beroperasi dalam waktu lama tanpa terdeteksi selama sleep interval dan jitter dikonfigurasi dengan bijak. Tim keamanan perlu memperketat monitoring terhadap outbound HTTP/WebSocket connections dari proses Java yang tidak dikenal, serta anomali pada class loading dan network activity yang tidak terkait dengan application yang sah.

Sumber: GitHub – MythicAgents/Woopsie | Penulis: @haha150 | Bahasa: Java 67.9%, Python 21.9% | License: MIT

Tags: C2 Agent Cross-Platform GraalVM Java Mythic Framework Red Team
Share:

retasan-news

← Previous Poopsie: C2 Agent Cross-Platform Mythic Framework dengan Token Impersonation dan Process Injection
Next → Proxy-DLL-Loads: Membungkus Ulang DLL Load Menggunakan Undocumented Syscall dan VEH untuk Menghindari Deteksi

Artikel Terkait

CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

CAN-QA: Benchmark Question-Answering Pertama untuk Analisis Traffic CAN pada Kendaraan

July 14, 2026
androidReverse: Suite Reverse Engineering Android yang Berjalan Sepenuhnya di Perangkat Mobile

androidReverse: Suite Reverse Engineering Android yang Berjalan Sepenuhnya di Perangkat Mobile

July 14, 2026
SAMDump: Tool Ekstraksi SAM dan SYSTEM dari Volume Shadow Copy dengan XOR Obfuscation

SAMDump: Tool Ekstraksi SAM dan SYSTEM dari Volume Shadow Copy dengan XOR Obfuscation

July 14, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.