Aktor -aktor ancaman yang mengerahkan keluarga ransomware basta dan kaktus hitam telah ditemukan mengandalkan modul backconnect (BC) yang sama untuk mempertahankan kontrol persisten atas host yang terinfeksi, sebuah tanda bahwa afiliasi yang sebelumnya terkait dengan BASTA hitam mungkin telah beralih ke kaktus.
“Setelah diinfiltrasi, ia memberi penyerang berbagai kemampuan remote control, memungkinkan mereka untuk melaksanakan perintah pada mesin yang terinfeksi,” kata Trend Micro dalam analisis Senin. “Ini memungkinkan mereka untuk mencuri data sensitif, seperti kredensial login, informasi keuangan, dan file pribadi.”
Perlu dicatat bahwa rincian modul BC, yang dilacak oleh perusahaan cybersecurity sebagai qbackConnect karena tumpang tindih dengan Qakbot Loader, pertama kali didokumentasikan pada akhir Januari 2025 oleh kedua tim intelijen cyber Walmart dan Sophos, yang terakhir telah menunjuk kluster nama STAC5777.
Selama setahun terakhir, Black Basta Attack Chains semakin memanfaatkan taktik pemboman email untuk menipu calon target untuk memasang bantuan cepat setelah dihubungi oleh aktor ancaman dengan kedok dukungan TI atau personel helpdesk.
Akses kemudian berfungsi sebagai saluran untuk memuat loader DLL berbahaya (“winhttp.dll”) bernama Reedbed menggunakan OneDrivestandAloneUpdater.exe, seorang yang dapat dieksekusi yang sah yang bertanggung jawab untuk memperbarui Microsoft OneDrive. Loader akhirnya mendekripsi dan menjalankan modul BC.
Trend Micro mengatakan mereka mengamati serangan ransomware kaktus yang menggunakan modus operandi yang sama untuk menggunakan backconnect, tetapi juga melampaui itu untuk melakukan berbagai tindakan pasca-eksploitasi seperti gerakan lateral dan exfiltrasi data. Namun, upaya untuk mengenkripsi jaringan korban berakhir dengan kegagalan.
Konvergensi taktik mengasumsikan signifikansi khusus mengingat bocor log obrolan Basta hitam baru-baru ini yang meluruskan pekerjaan dalam geng E-Crime dan struktur organisasi.
Secara khusus, telah muncul bahwa anggota kru yang termotivasi secara finansial berbagi kredensial yang valid, beberapa di antaranya telah bersumber dari log pencuri informasi. Beberapa titik akses awal terkemuka lainnya adalah portal Protokol Desktop Remote (RDP) dan titik akhir VPN.
“Aktor ancaman menggunakan taktik, teknik, dan prosedur (TTP) ini – Vishing, Bantuan Cepat sebagai alat jarak jauh, dan backconnect – untuk menggunakan ransomware basta hitam,” kata Trend Micro.
“Secara khusus, ada bukti yang menunjukkan bahwa anggota telah beralih dari kelompok ransomware basta hitam ke kelompok ransomware kaktus. Kesimpulan ini diambil dari analisis taktik, teknik, dan prosedur (TTP) yang sama yang digunakan oleh kelompok kaktus.”
