Peneliti cybersecurity telah menemukan akses jarak jauh yang canggih dan canggih yang disebut resolverrat yang telah diamati dalam serangan yang menargetkan sektor perawatan kesehatan dan farmasi.
“Aktor ancaman memanfaatkan umpan berbasis ketakutan yang dikirim melalui email phishing, yang dirancang untuk menekan penerima untuk mengklik tautan berbahaya,” kata peneliti Morphisec Labs Nadav Lorber dalam sebuah laporan yang dibagikan dengan berita peretas. “Setelah diakses, tautan mengarahkan pengguna untuk mengunduh dan membuka file yang memicu rantai eksekusi resolverrat.”
Kegiatan, yang diamati baru -baru ini pada 10 Maret 2025, berbagi infrastruktur dan mekanisme pengiriman tumpang tindih dengan kampanye phishing yang telah memberikan malware pencuri informasi seperti Lumma dan Rhadamanthys, seperti yang didokumentasikan oleh Cisco Talos dan Check Point tahun lalu.
Aspek penting dari kampanye ini adalah penggunaan umpan phishing lokal, dengan email yang dibuat dalam bahasa yang sebagian besar digunakan di negara -negara yang ditargetkan. Ini termasuk bahasa Hindi, Italia, Ceko, Turki, Portugis, dan Indonesia, menunjukkan upaya aktor ancaman untuk melemparkan jaring yang luas melalui penargetan khusus wilayah dan memaksimalkan tingkat infeksi.
Konten tekstual dalam pesan email menggunakan tema yang terkait dengan penyelidikan hukum atau pelanggaran hak cipta yang berupaya mendorong rasa urgensi yang salah dan meningkatkan kemungkinan interaksi pengguna.
Rantai infeksi ditandai dengan penggunaan teknik pemuatan sisi DLL untuk memulai proses. Tahap pertama adalah loader dalam memori yang mendekripsi dan mengeksekusi muatan utama sementara juga menggabungkan sejumlah trik untuk terbang di bawah radar. Tidak hanya muatan resolverrat menggunakan enkripsi dan kompresi, tetapi juga hanya ada dalam memori setelah diterjemahkan.
“Urutan inisialisasi resolverrat mengungkapkan proses bootstrap multi-tahap yang canggih yang direkayasa untuk diam-diam dan ketahanan,” kata Lorber, menambahkannya “mengimplementasikan beberapa metode kegigihan yang berlebihan” dengan menggunakan registri Windows dan pada sistem file dengan memasang dirinya di berbagai lokasi sebagai mekanisme fallback.
Setelah diluncurkan, malware menggunakan otentikasi berbasis sertifikat yang dipesan lebih dahulu sebelum membangun kontak dengan server perintah-dan-kontrol (C2) sehingga melewati otoritas root mesin. Ini juga mengimplementasikan sistem rotasi IP untuk terhubung ke server C2 alternatif jika server C2 primer menjadi tidak tersedia atau diturunkan.
Selain itu, resolverrat dilengkapi dengan kemampuan untuk menghindari upaya deteksi melalui penipisan sertifikat, kebingungan kode sumber, dan pola suar tidak teratur ke server C2.
“Infrastruktur C2 canggih ini menunjukkan kemampuan canggih dari aktor ancaman, menggabungkan komunikasi yang aman, mekanisme mundur, dan teknik penghindaran yang dirancang untuk mempertahankan akses persisten sambil menghindari deteksi oleh sistem pemantauan keamanan,” kata Morphisec.
Tujuan akhir dari malware adalah untuk memproses perintah yang dikeluarkan oleh server C2 dan mengekspresikan respons kembali, memecah data lebih dari 1 MB menjadi ukuran 16 kb sehingga dapat meminimalkan kemungkinan deteksi.
Kampanye ini belum dikaitkan dengan kelompok atau negara tertentu, meskipun kesamaan dalam tema umpan dan penggunaan pemuatan sisi DLL dengan serangan phishing yang sebelumnya diamati menyinggung hubungan yang mungkin.
“Penyelarasan […] menunjukkan kemungkinan tumpang tindih dalam infrastruktur aktor ancaman atau buku pedoman operasional, berpotensi menunjuk pada model afiliasi bersama atau aktivitas terkoordinasi di antara kelompok ancaman terkait, “kata perusahaan itu.
Perkembangan ini datang ketika Cyfirma merinci akses jarak jauh lain Trojan dengan tikus Neptunus yang menggunakan pendekatan modular berbasis plugin untuk mencuri informasi, mempertahankan kegigihan pada host, menuntut tebusan $ 500, dan bahkan menimpa catatan boot master (MBR) untuk mengganggu fungsi normal sistem Windows.
Ini sedang diperbanyak secara bebas melalui GitHub, Telegram, dan YouTube. Yang mengatakan, profil GitHub yang terkait dengan malware, yang disebut masongroup (alias Freemasonry), tidak lagi dapat diakses.
“Tikus Neptunus menggabungkan teknik anti-analisis canggih dan metode kegigihan untuk mempertahankan kehadirannya pada sistem korban untuk waktu yang lama dan dikemas dengan fitur berbahaya,” kata perusahaan dalam analisis yang diterbitkan minggu lalu.
Ini termasuk “crypto clipper, pencuri kata sandi dengan kemampuan untuk mengeksfiltrasi lebih dari 270+ kredensial aplikasi yang berbeda, kemampuan ransomware, dan pemantauan desktop langsung, menjadikannya ancaman yang sangat serius.”
