Image credit: Freepix
Waspada! Ribuan Router Asus Terinfeksi KadNap – Peneliti keamanan siber baru saja mengidentifikasi jenis malware baru bernama KadNap.
Ancaman ini secara spesifik menargetkan perangkat router Asus untuk dijadikan bagian dari jaringan botnet raksasa.
Tujuan utamanya adalah untuk memproksi lalu lintas data berbahaya guna menyembunyikan identitas para penjahat siber di balik layanan proksi anonim.
Sejak pertama kali terdeteksi pada Agustus 2025, KadNap telah berkembang pesat dengan menginfeksi lebih dari 14.000 perangkat di seluruh dunia.
Peneliti mencatat bahwa lebih dari 60% korban berada di Amerika Serikat, diikuti oleh infeksi di Taiwan, Hong Kong, Rusia, hingga beberapa negara di Eropa dan Amerika Latin.
1. Inovasi Protokol DHT dan Mekanisme Komunikasi
Hal yang membuat KadNap menonjol dibandingkan botnet lainnya adalah penggunaan versi kustom dari protokol Kademlia Distributed Hash Table (DHT). Protokol ini biasanya digunakan dalam sistem peer-to-peer (P2P) legal, namun KadNap menyalahgunakannya untuk:
|
Baca juga: Jebakan Email Makin Canggih Berkat AI |
Menyembunyikan Infrastruktur
Dengan DHT, alamat IP dari server kendali (C2) tersembunyi di dalam kebisingan lalu lintas P2P yang sah, sehingga pemantauan jaringan tradisional sulit mendeteksi aktivitas mencurigakan ini.
Resiliensi Tinggi
Karena jaringannya terdesentralisasi, botnet ini sangat sulit untuk dilumpuhkan. Jika satu titik jatuh, titik lain dalam jaringan P2P tetap bisa menghubungkan perangkat yang terinfeksi ke server kendali baru.
Kategorisasi Perangkat
Peneliti menemukan bahwa tidak semua perangkat yang terinfeksi berkomunikasi dengan server C2 yang sama; infrastruktur ini sengaja dibagi-bagi berdasarkan tipe dan model perangkat untuk manajemen yang lebih efisien.
2. Rantai Serangan dan Eksploitasi Layanan Doppelgänger
Peneliti mengungkapkan bahwa perangkat yang berhasil dikuasai oleh KadNap kemudian dipasarkan melalui layanan proksi komersial bernama Doppelgänger.
Layanan ini diklaim sebagai bentuk baru (rebrand) dari layanan proksi “Faceless” yang sebelumnya terkait dengan malware TheMoon.
Tahapan teknis KadNap menguasai sebuah perangkat
- Eksekusi Skrip Awal: Serangan dimulai dengan pengunduhan skrip shell bernama aic.sh. Skrip ini kemudian membuat tugas terjadwal (cron job) setiap jam untuk mengambil pembaruan, mengganti namanya menjadi .asusrouter, dan menjalankannya guna memastikan keberadaan permanen di sistem.
- Pengerahan Binary ELF: Setelah akses menetap, skrip akan menarik file biner berbahaya (ELF) bernama kad yang dirancang khusus untuk prosesor ARM dan MIPS (arsitektur umum pada router).
- Sinkronisasi Waktu: KadNap terhubung ke server NTP untuk mendapatkan waktu saat ini. Data waktu ini, bersama dengan uptime host, digunakan untuk membuat hash unik yang berfungsi mencari perangkat lain (peers) dalam jaringan terdesentralisasi untuk menerima perintah baru.
- Penutupan Akses SSH: Malware ini juga memiliki fungsi untuk menutup port 22 (SSH) pada perangkat yang terinfeksi. Hal ini dilakukan untuk mencegah administrator atau peretas lain masuk dan mengambil alih perangkat tersebut.
|
Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah |
Langkah Mitigasi bagi Pengguna Router
Ancaman ini menjadi pengingat keras bagi pengguna perangkat jaringan skala kecil dan kantor (SOHO). Peneliti menyarankan beberapa langkah keamanan praktis:
- Pembaruan Firmware: Selalu pastikan router Anda menjalankan versi firmware terbaru untuk menambal celah keamanan.
- Keamanan Akses: Ganti kata sandi default, matikan antarmuka manajemen jarak jauh jika tidak diperlukan, dan lakukan reboot perangkat secara berkala.
- Ganti Perangkat Lama: Segera ganti model router yang sudah mencapai masa akhir dukungan (end-of-life) karena tidak akan lagi menerima pembaruan keamanan terhadap ancaman seperti KadNap.
Munculnya Ancaman ClipXDaemon pada Linux
Bersamaan dengan isu KadNap, peneliti juga mengidentifikasi ancaman Linux baru bernama ClipXDaemon. Berbeda dengan botnet, malware ini berfungsi sebagai pencuri mata uang kripto yang memantau papan klip (clipboard) setiap 200 milidetik.
Jika pengguna menyalin alamat dompet kripto, malware ini akan secara otomatis menggantinya dengan alamat milik penyerang dalam sesi X11, sehingga dana kiriman akan masuk ke kantong peretas.
Sumber berita:
