Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap adanya kampanye spionase siber aktif bernama PassiveNeuron yang menargetkan mesin Windows Server di berbagai sektor strategis. Aktivitas ini tercatat berlangsung sejak Desember 2024 hingga Agustus 2025, menandai kembalinya grup tersebut setelah enam bulan tidak terdeteksi.
Serangan Menyasar Tiga Benua
Menurut Kaspersky, operasi PassiveNeuron memfokuskan aksinya pada organisasi yang beroperasi di sektor pemerintahan, keuangan, dan industri. Targetnya tersebar luas, mencakup wilayah Asia, Afrika, dan Amerika Latin, menunjukkan jangkauan global dan ketertarikan pada infrastruktur penting yang umumnya bergantung pada server berbasis Windows.
Kaspersky menemukan sejumlah artefak yang menunjukkan upaya penyerang untuk menyamarkan identitasnya, seperti penggunaan karakter Cyrillic dalam nama fungsi malware. Teknik ini dinilai sebagai sinyal palsu yang dapat menyesatkan proses atribusi. Meski demikian, berdasarkan taktik, teknik, dan prosedur yang diamati, Kaspersky menilai dengan tingkat keyakinan rendah bahwa kampanye ini kemungkinan berkaitan dengan aktor ancaman berbahasa Mandarin.
Tiga Alat Utama dalam Operasi
Kaspersky mengidentifikasi tiga komponen utama yang digunakan untuk mengendalikan server korban dan mempertahankan akses:
1. Neursite – Backdoor Modular
Neursite menjadi pintu masuk yang memungkinkan penyerang mengumpulkan informasi sistem, mengontrol proses, serta merutekan lalu lintas jaringan antarhost yang terkompromi. Kemampuan ini memberi jalan bagi pergerakan lateral dalam jaringan internal, sehingga tingkat eskalasi ancaman meningkat signifikan.
2. NeuralExecutor – Implan Berbasis .NET
NeuralExecutor berfungsi sebagai pengantar muatan tambahan. Implan ini mampu menerima dan menjalankan assembly .NET yang dikirim dari server perintah dan kontrol. Fleksibilitasnya dalam mendukung berbagai protokol komunikasi membuatnya menjadi alat efektif untuk menjalankan instruksi pasca-kompromi.
3. Cobalt Strike
Kerangka kerja ini umum digunakan dalam pengujian penetrasi, tetapi juga menjadi salah satu alat favorit kelompok peretas untuk memperkuat kontrol atas sistem target. Dalam kampanye ini, Cobalt Strike digunakan sebagai pendukung untuk memperluas kemampuan infiltrasi.
Ancaman Berbasis Server
Menurut Georgy Kucherin, Peneliti Keamanan GReAT Kaspersky, fokus PassiveNeuron pada server yang terekspos ke internet membuat kampanye ini sangat berbahaya. Server sering kali menjadi tulang punggung operasional sebuah organisasi, sehingga satu sistem yang disusupi dapat membuka akses ke berbagai layanan kritikal.
Kucherin menegaskan pentingnya meminimalkan permukaan serangan pada aplikasi yang berjalan di server, serta perlunya pemantauan ketat untuk mendeteksi tanda-tanda infeksi sejak dini.
Dampak bagi Organisasi
Serangan terhadap server Windows berpotensi membuka jalan bagi pelaku ancaman untuk memperoleh akses permanen ke jaringan internal. Risiko ini mencakup pencurian data, pengawasan jangka panjang, hingga pelemahan sistem operasional. Karena PassiveNeuron termasuk kampanye yang masih aktif, organisasi perlu meningkatkan kewaspadaan dan memastikan adanya lapisan pertahanan yang memadai.
Rekomendasi untuk Mitigasi
Kaspersky menyarankan sejumlah langkah yang dapat diterapkan organisasi untuk mengurangi risiko:
- Mengakses intelijen ancaman terbaru melalui Kaspersky Threat Intelligence Portal.
- Meningkatkan kompetensi tim SOC melalui pelatihan berbasis kasus nyata dari pakar GReAT.
- Menerapkan solusi Endpoint Detection and Response (EDR) untuk mendeteksi dan merespons aktivitas mencurigakan di tingkat workstation maupun server.
- Menggunakan solusi tingkat korporat seperti Kaspersky Anti Targeted Attack Platform guna mendeteksi ancaman canggih pada tahap awal.
- Memberikan pelatihan kesadaran keamanan kepada karyawan untuk mengantisipasi phishing dan teknik rekayasa sosial lainnya.