Departemen Kehakiman AS (DOJ) pada hari Kamis mengumumkan gangguan infrastruktur online yang terkait dengan Danabot (alias Danatools) dan tuduhan yang tidak disegel terhadap 16 orang atas dugaan keterlibatan mereka dalam pengembangan dan penyebaran malware, yang katanya dikendalikan oleh organisasi kejahatan dunia maya yang berbasis di Rusia.
Malware, kata DOJ, menginfeksi lebih dari 300.000 komputer korban di seluruh dunia, memfasilitasi penipuan dan ransomware, dan menyebabkan setidaknya $ 50 juta kerusakan. Dua dari terdakwa, Aleksandr Stepanov (alias Jimmbee), 39, dan Artem Aleksandrovich Kalinkin (alias Onix), 34, keduanya dari Novosibirsk, Rusia, saat ini bebas.
Stepanov telah didakwa dengan konspirasi, konspirasi untuk melakukan penipuan kawat dan penipuan bank, pencurian identitas yang diperburuk, akses tidak sah ke komputer yang dilindungi untuk mendapatkan informasi, gangguan komputer yang dilindungi, disisipkan, dan penggunaan komunikasi yang dicegat. Kalinkin telah didakwa dengan konspirasi untuk mendapatkan akses yang tidak sah ke komputer untuk mendapatkan informasi, untuk mendapatkan akses yang tidak sah ke komputer untuk menipu, dan untuk melakukan penurunan nilai yang tidak sah dari komputer yang dilindungi.
Keluhan dan dakwaan pidana yang tidak disegel menunjukkan bahwa banyak terdakwa, yang menghitung Kalinkin, mengungkap identitas kehidupan nyata mereka setelah secara tidak sengaja menginfeksi sistem mereka sendiri dengan malware.
“Dalam beberapa kasus, infeksi diri seperti itu tampaknya sengaja dilakukan untuk menguji, menganalisis, atau meningkatkan malware,” keluhan [PDF] membaca. “Dalam kasus lain, infeksi tampaknya tidak disengaja – salah satu bahaya melakukan kejahatan dunia maya adalah bahwa para penjahat kadang -kadang akan menginfeksi diri mereka sendiri dengan malware mereka sendiri secara tidak sengaja.”
“Infeksi yang tidak disengaja sering mengakibatkan data yang sensitif dan kompromi dicuri dari komputer aktor oleh malware dan disimpan di server Danabot, termasuk data yang membantu mengidentifikasi anggota organisasi Danabot.”
Jika terbukti bersalah, Kalinkin diperkirakan akan menghadapi hukuman maksimum undang -undang 72 tahun di penjara federal. Stepanov akan menghadapi hukuman penjara lima tahun. Bersamaan dengan tindakan tersebut, upaya penegakan hukum, yang dilakukan sebagai bagian dari Operasi Endgame, melihat server komando-dan-kontrol Danabot (C2) disita, termasuk lusinan server virtual yang diselenggarakan di Amerika Serikat.
“Malware danabot menggunakan berbagai metode untuk menginfeksi komputer korban, termasuk pesan email spam yang berisi lampiran jahat atau hyperlink,” kata DOJ. “Komputer korban yang terinfeksi malware danabot menjadi bagian dari botnet (jaringan komputer yang dikompromikan), memungkinkan operator dan pengguna botnet untuk mengontrol komputer yang terinfeksi dari jarak jauh dengan cara yang terkoordinasi.”
Danabot, seperti malware Lumma Stealer yang baru saja dibongkar, beroperasi di bawah skema malware-as-a-service (MAAS), dengan administrator menyewakan akses mulai dari $ 500 hingga “beberapa ribu dolar” sebulan. Dilacak di bawah moniker Scully Spider dan Storm-1044, adalah alat multi-fungsional di sepanjang garis emosi, trikbot, qakbot, dan icedid yang mampu bertindak sebagai pencuri dan vektor pengiriman untuk muatan tahap berikutnya, seperti ransomware.
Malware modular berbasis Delphi dilengkapi untuk menyedot data dari komputer korban, membajak sesi perbankan, dan mencuri informasi perangkat, sejarah penjelajahan pengguna, kredensial akun yang tersimpan, dan informasi dompet mata uang virtual. Ini juga dapat memberikan akses jarak jauh penuh, penekanan tombol log, dan menangkap video. Sudah aktif di alam liar sejak debutnya pada Mei 2018, ketika dimulai sebagai Trojan perbankan.
 |
| Contoh infrastruktur danabot khas |
“Danabot awalnya menargetkan korban di Ukraina, Polandia, Italia, Jerman, Austria, dan Australia sebelum memperluas postur penargetannya untuk memasukkan lembaga keuangan yang berbasis di AS dan Kanada pada Oktober 2018,” kata Crowdstrike. “Popularitas malware tumbuh karena pengembangan modular awal yang mendukung suntikan web berbasis Zeus, kemampuan pencuri informasi, penebangan keystroke, perekaman layar, dan fungsionalitas komputasi jaringan virtual (HVNC) tersembunyi.”
Menurut Black Lotus Labs dan Team Cymru, Danabot menggunakan infrastruktur komunikasi berlapis antara korban dan pengontrol botnet, di mana lalu lintas C2 diproksi melalui dua atau tiga tingkatan server sebelum mencapai tingkat akhir. Setidaknya lima hingga enam server Tier-2 aktif pada waktu tertentu. Mayoritas korban Danabot terkonsentrasi di sekitar Brasil, Meksiko, dan Amerika Serikat.
“Para operator telah menunjukkan komitmen mereka pada kerajinan mereka, disesuaikan dengan deteksi dan perubahan dalam pertahanan perusahaan, dan dengan iterasi kemudian, mengisolasi C2 di tingkatan untuk mengaburkan pelacakan,” kata perusahaan itu. “Sepanjang waktu ini, mereka telah membuat bot lebih ramah pengguna dengan harga terstruktur dan dukungan pelanggan.”
 |
| Diagram tingkat tinggi arsitektur C2 multi-tier |
DOJ mengatakan administrator danabot mengoperasikan versi kedua botnet yang dirancang khusus untuk menargetkan komputer korban di militer, diplomatik, pemerintah, dan entitas terkait di Amerika Utara dan Eropa. Varian ini, yang muncul pada Januari 2021, dilengkapi dengan kemampuan untuk merekam semua interaksi yang terjadi pada perangkat korban dan mengirim data ke server yang berbeda.
“Malware yang meresap seperti Danabot merugikan ratusan ribu korban di seluruh dunia, termasuk entitas militer, diplomatik, dan pemerintah yang sensitif, dan menyebabkan jutaan dolar dalam kerugian,” kata Jaksa Amerika Serikat Bill Essayli untuk Distrik Tengah California.
DOJ lebih lanjut mengkredit beberapa perusahaan sektor swasta, Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, Paypal, Proofpoint, Spycloud, Team Cymru, dan Zscaler, untuk memberikan “bantuan berharga.”
Beberapa aspek penting dari Danabot, disusun dari berbagai laporan, ada di bawah –
- DanaBot's sub-botnet 5 received commands to download a Delphi-based executable leveraged to conduct HTTP-based distributed denial-of-service (DDoS) attacks against the Ukrainian Ministry of Defence (MOD) webmail server and the National Security and Defense Council (NSDC) of Ukraine in March 2022, shortly after Russia's invasion of the country
- Dua sub-botnet danabot, 24 dan 25, secara khusus digunakan untuk tujuan spionase yang mungkin dengan tujuan untuk lebih lanjut kegiatan pengumpulan intelijen atas nama kepentingan pemerintah Rusia
- Operator danabot telah secara berkala merestrukturisasi penawaran mereka sejak 2022 untuk fokus pada penghindaran pertahanan, dengan setidaknya 85 angka build yang berbeda diidentifikasi hingga saat ini (versi terbaru adalah 4006, yang dikompilasi pada Maret 2025)
- Infrastruktur malware terdiri dari beberapa komponen: “bot” yang menginfeksi sistem target dan melakukan pengumpulan data, “onlineserver” yang mengelola fungsionalitas tikus, “klien” untuk memproses log yang dikumpulkan dan manajemen bot, dan “server” yang menangani generasi bot, pengemasan, dan komunikasi C2 C2
- Danabot telah digunakan dalam serangan spionase yang ditargetkan terhadap pejabat pemerintah di Timur Tengah dan Eropa Timur
- Para penulis Danabot beroperasi sebagai kelompok tunggal, menawarkan malware untuk disewa untuk afiliasi potensial, yang kemudian menggunakannya untuk tujuan berbahaya mereka sendiri dengan membangun dan mengelola botnet mereka sendiri menggunakan server pribadi
- Pengembang Danabot telah bermitra dengan penulis beberapa krim dan loader malware, seperti Matanbuchus, dan menawarkan harga khusus untuk bundel distribusi
- Danabot mempertahankan rata-rata 150 server Tier-1 C2 aktif per hari, dengan sekitar 1.000 korban setiap hari di lebih dari 40 negara, menjadikannya salah satu platform MAAS terbesar yang aktif pada tahun 2025
Proofpoint, yang pertama kali mengidentifikasi dan menamai Danabot pada Mei 2018, mengatakan gangguan operasi MAAS adalah kemenangan bagi para pembela dan bahwa ia akan berdampak pada lanskap ancaman penjahat cyber.
“Gangguan penjahat dunia maya dan tindakan penegakan hukum tidak hanya mengganggu fungsionalitas dan penggunaan malware tetapi juga membebankan biaya untuk mengancam aktor dengan memaksa mereka untuk mengubah taktik mereka, menyebabkan ketidakpercayaan pada ekosistem kriminal, dan berpotensi membuat penjahat berpikir tentang menemukan karier yang berbeda,” kata Selena Larson, seorang peneliti ancaman staf di proofpomen, kata.
“Keberhasilan terhadap penjahat cyber ini hanya terjadi ketika tim TI tim TI dan penyedia layanan keamanan berbagi wawasan yang sangat dibutuhkan tentang ancaman terbesar bagi masyarakat, yang memengaruhi jumlah terbesar orang di seluruh dunia, yang dapat digunakan penegakan hukum untuk melacak server, infrastruktur, dan organisasi kriminal di belakang serangan.
 |
| Fitur Danabot seperti yang dipromosikan di situs dukungannya |
DOJ Uneals menuduh terhadap pemimpin Qakbot
Perkembangan ini terjadi ketika DOJ yang tidak disegel dakwaan terhadap seorang penduduk Moskow berusia 48 tahun, Rustam Rafailevich Gallyamo, karena memimpin upaya untuk mengembangkan dan mempertahankan malware Qakbot, yang terganggu dalam operasi multinasional pada Agustus 2023. Badan tersebut juga mengajukan pengaduan penyitaan sipil terhadap lebih dari $ 24 juta dalam cryptocurrency seizing dari Gallyamsam.
“Gallyamov mengembangkan, mengerahkan, dan mengendalikan malware Qakbot mulai tahun 2008,” kata DOJ. “Mulai 2019 dan seterusnya, Gallyamov diduga menggunakan malware Qakbot untuk menginfeksi ribuan komputer korban di seluruh dunia untuk membangun jaringan, atau 'botnet,' komputer yang terinfeksi.”
DOJ mengungkapkan bahwa, setelah pencopotan, Gallyamov dan co-konspiratornya melanjutkan kegiatan kriminal mereka dengan beralih ke taktik lain seperti serangan “bom spam” untuk mendapatkan akses yang tidak sah ke jaringan korban dan menggunakan keluarga ransomware seperti Black Basta dan Cactus. Dokumen pengadilan menuduh kelompok E-Crime terlibat dalam metode ini baru-baru ini pada Januari 2025.
“Mr. Gallyamov's bot network was crippled by the talented men and women of the FBI and our international partners in 2023, but he brazenly continued to deploy alternative methods to make his malware available to criminal cyber gangs conducting ransomware attacks against innocent victims globally,” said Assistant Director in Charge Akil Davis of the FBI's Los Angeles Field Office.
