Beberapa aktor ransomware menggunakan malware yang disebut Skitnet Sebagai bagian dari upaya pasca-eksploitasi mereka untuk mencuri data sensitif dan membangun kendali jarak jauh atas host yang dikompromikan.
“Skitnet telah dijual di forum bawah tanah seperti Ramp sejak April 2024,” kata perusahaan cybersecurity Swiss Prodaft kepada Hacker News. “Namun, sejak awal 2025, kami telah mengamati beberapa operator ransomware yang menggunakannya dalam serangan dunia nyata.”
“Misalnya, pada bulan April 2025, Black Basta memanfaatkan Skitnet dalam kampanye phishing bertema tim yang menargetkan lingkungan perusahaan. Dengan fitur siluman dan arsitektur yang fleksibel, Skitnet tampaknya mendapatkan daya tarik dengan cepat dalam ekosistem ransomware.”
Skitnetjuga disebut Bossnetadalah malware multi-tahap yang dikembangkan oleh aktor ancaman yang dilacak oleh perusahaan dengan nama Larva-306. Aspek penting dari alat berbahaya adalah menggunakan bahasa pemrograman seperti Rust dan NIM untuk meluncurkan cangkang terbalik di atas DNS dan menghindari deteksi.
Ini juga menggabungkan mekanisme kegigihan, alat akses jarak jauh, perintah untuk exfiltrasi data, dan bahkan mengunduh biner .NET Loader yang dapat digunakan untuk melayani muatan tambahan, menjadikannya ancaman serbaguna.
Pertama kali diiklankan pada 19 April 2024, Skitnet ditawarkan kepada pelanggan potensial sebagai “paket kompak” yang terdiri dari komponen server dan malware. Eksekusi awal adalah biner karat yang mendekripsi dan menjalankan muatan tertanam yang dikompilasi di NIM.
“Fungsi utama biner NIM ini adalah untuk membangun koneksi shell terbalik dengan C2 [command-and-control] Server melalui resolusi DNS, “kata ProPaft.” Untuk menghindari deteksi, ia menggunakan fungsi GetProcaddress untuk secara dinamis menyelesaikan alamat fungsi API daripada menggunakan tabel impor tradisional. “
Biner berbasis NIM selanjutnya memulai beberapa utas untuk mengirim permintaan DNS setiap 10 detik, membaca tanggapan DNS dan mengekstrak perintah yang akan dieksekusi pada host, dan mengirimkan hasil eksekusi perintah kembali ke server. Perintah dikeluarkan melalui panel C2 yang digunakan untuk mengelola host yang terinfeksi.
Beberapa perintah PowerShell yang didukung tercantum di bawah ini –
- Startup, yang memastikan kegigihan dengan membuat jalan pintas di direktori startup perangkat korban
- Layar, yang menangkap tangkapan layar desktop korban
- AnyDesk/Rutserv, yang menggunakan perangkat lunak desktop jarak jauh yang sah seperti AnyDesk atau Remote Utilities (“Rutserv.exe”)
- Shell, untuk menjalankan skrip PowerShell yang di -host di server jarak jauh dan mengirim hasilnya kembali ke server C2
- Av, yang mengumpulkan daftar produk keamanan terpasang
“Skitnet adalah malware multi-tahap yang memanfaatkan beberapa bahasa pemrograman, dan teknik enkripsi,” kata ProPaft. “Dengan menggunakan Rust untuk dekripsi muatan dan pemetaan manual, diikuti oleh cangkang terbalik berbasis NIM yang berkomunikasi melalui DNS, malware mencoba menghindari langkah-langkah keamanan tradisional.”
Pengungkapan itu datang ketika Zscaler Ancamanlabz merinci pemuat malware lain yang dijuluki TransferLoader yang digunakan untuk memberikan strain ransomware yang disebut Morpheus yang menargetkan sebuah firma hukum Amerika.
Aktif sejak setidaknya Februari 2025, TransferLoader menggabungkan tiga komponen, pengunduh, backdoor, dan loader khusus untuk backdoor, memungkinkan aktor ancaman untuk menjalankan perintah sewenang -wenang pada sistem yang dikompromikan.
Sementara pengunduh dirancang untuk mengambil dan menjalankan muatan dari server C2 dan secara bersamaan menjalankan file umpan PDF, backdoor bertanggung jawab untuk menjalankan perintah yang dikeluarkan oleh server, serta memperbarui konfigurasinya sendiri.
“Backdoor menggunakan platform peer-to-peer sistem interplanet (IPFS) yang terdesentralisasi sebagai saluran fallback untuk memperbarui server perintah-dan-kontrol (C2),” kata perusahaan cybersecurity. “Pengembang TransferLoader menggunakan metode kebingungan untuk membuat proses rekayasa terbalik lebih membosankan.”
