Ancaman Baru! Malware V3G4 Serang Server Linux dan IoT

Dunia keamanan siber kembali diguncang dengan ditemukannya sebuah kampanye malware Linux baru yang sangat canggih dan sulit dideteksi. Malware ini tidak hanya menggabungkan kemampuan botnet DDoS berbasis Mirai tetapi juga menyisipkan cryptominer tanpa file (fileless), membuatnya hampir mustahil dilacak oleh sistem pertahanan tradisional. Temuan yang diungkap oleh Cyble Research Intelligence Labs ini menunjukkan bahwa ancaman terhadap perangkat Internet of Things (IoT) dan infrastruktur cloud terus berkembang ke level yang lebih rumit dan berbahaya.

Perpaduan Dua Ancaman: Botnet DDoS dan Cryptominer

Malware ini diberi nama V3G4, dan memiliki kemampuan hybrid yang memungkinkan pelaku ancaman menjalankan dua aktivitas berbahaya sekaligus: serangan DDoS dan penambangan cryptocurrency. Dengan memanfaatkan satu perangkat korban untuk dua tujuan, para pelaku dapat memaksimalkan keuntungan finansial tanpa harus menginfeksi lebih banyak perangkat.

Model yang dipakai V3G4 membuat kampanye ini sangat menguntungkan. Botnet digunakan untuk menyerang target melalui serangan DDoS yang dapat menyebabkan layanan online lumpuh, sementara cryptominer diam-diam menjalankan proses penambangan Monero untuk menghasilkan pendapatan tambahan. Kombinasi ini menjadi sumber keuntungan berkelanjutan bagi kelompok penyerang, sekaligus membuat upaya deteksi jauh lebih sulit karena fungsi jahatnya tidak terbatas pada satu aktivitas saja.

Infeksi Dimulai dari Skrip Kecil yang Sangat Efisien

Proses infeksi dimulai dengan skrip ringan yang diberi nama Universal Bot Downloader. Meskipun sederhana, skrip ini sangat efektif dalam menentukan target. Ia secara otomatis membaca arsitektur CPU perangkat korban melalui perintah Linux uname -m. Informasi ini penting untuk memastikan malware dapat berjalan sesuai arsitektur perangkat.

Skrip tersebut mendukung berbagai jenis arsitektur CPU yang banyak digunakan pada perangkat server dan IoT, termasuk:

• x86_64
• ARM64
• ARM7
• ARM5
• MIPS
• MIPSEL

Setelah mengetahui arsitektur korban, skrip kemudian membangun URL khusus untuk mengunduh binary malware dari server penyerang di alamat 103.149.93.224. File tersebut diunduh, disimpan sementara di direktori /tmp, diberi izin agar bisa dieksekusi menggunakan chmod, lalu dijalankan secara langsung. Pola ini merupakan ciri khas botnet IoT modern—cepat, kompatibel dengan banyak perangkat, dan tidak membutuhkan interaksi tambahan.

Langkah Berbahaya Setelah Payload Dijalankan

Begitu dijalankan, malware yang telah dikompresi dengan UPX dan dilucuti dari simbol-simbol debug ini akan memulai tahap pengintaian sistem. Malware ini memeriksa informasi kernel, batas proses, serta detail lain yang dapat membantu menentukan bagaimana ia harus beroperasi di perangkat tersebut.

Para analis dari Cyble menemukan bahwa malware ini mencetak tanda unik “xXxSlicexXxxVEGA” ke stdout. Tanda ini sebelumnya telah dikaitkan dengan varian V3G4-Mirai dalam sejumlah insiden serangan pada platform cloud. Hal ini memperkuat dugaan bahwa V3G4 adalah turunan terbaru dari keluarga malware Mirai yang telah dimodifikasi untuk memiliki fungsi lebih beragam dan lebih tersembunyi.

Tidak berhenti di situ, bot V3G4 kemudian mengaktifkan mode penyamaran. Ia menggunakan pemanggilan sistem Linux prctl untuk menyamar sebagai proses systemd-logind, sebuah layanan yang umum berjalan di banyak distribusi Linux. Setelah menyamar, malware menutup seluruh aliran input/output standar serta melepaskan dirinya dari terminal menggunakan setsid, sehingga hampir mustahil mendeteksinya melalui pemantauan proses biasa.

Infrastruktur C2 yang Kompleks dan Sulit Diblokir

V3G4 dilengkapi infrastruktur command-and-control (C2) yang sangat canggih. Infrastruktur ini memanfaatkan pemindaian soket TCP tingkat rendah serta teknik berbasis DNS agar selalu dapat terhubung dengan server pengendali.

Malware ini menggunakan beberapa worker thread untuk memindai port 22 di seluruh internet dengan kecepatan tinggi melalui penyebaran paket SYN. Tujuannya jelas: menemukan perangkat yang rentan dan mencoba melakukan serangan brute-force pada SSH untuk menambah lebih banyak korban.

Secara bersamaan, bot juga menjalankan kueri DNS multithread ke server DNS Google (8.8.8.8) untuk mengetahui alamat terbaru domain C2 baojunwakuang.asia. Domain ini merujuk ke alamat IP 159.75.47.123, yang mengirimkan perintah botnet dan konfigurasi miner melalui port tidak standar seperti 60194. Penggunaan port yang tidak lazim ini menjadi strategi tambahan agar malware sulit terdeteksi oleh firewall tradisional atau peralatan IDS/IPS.

Tahap Akhir: Penambang Monero Tanpa File yang Sangat Tersembunyi

Tahap ketiga dan paling berbahaya dari malware ini adalah pemasangan cryptominer Monero berbasis XMRig. Berbeda dengan cryptominer biasa, V3G4 tidak menyimpan konfigurasi penambangan dalam file apa pun. Semua parameter—termasuk alamat dompet, URL pool, dan pengaturan algoritma—diambil secara dinamis dari server C2 saat dijalankan.

Miner disamarkan sebagai proses bernama /tmp/.dbus-daemon , yang sekilas terlihat seperti proses sistem Linux yang sah. Data konfigurasi dikirimkan dalam format JSON melalui koneksi TCP langsung tanpa meninggalkan jejak di disk. Pendekatan fileless ini menjadikan malware sangat sulit dilacak, terutama oleh antivirus tradisional yang mengandalkan keberadaan file berbahaya di sistem.

Selain itu, sistem fileless ini memungkinkan operator untuk mengubah konfigurasi mining kapan saja tanpa harus memperbarui malware di perangkat korban.

Ancaman Baru Bagi Ekosistem Linux, IoT, dan Cloud

Kombinasi kemampuan menyamar, pemindaian soket mentah yang agresif, serta pengambilan konfigurasi secara dinamis menunjukkan bahwa V3G4 adalah contoh nyata evolusi botnet modern. Malware ini tidak hanya mengandalkan satu teknik, tetapi menggabungkan banyak metode untuk menciptakan ancaman yang sulit dilacak, sulit dihentikan, dan sangat menguntungkan bagi penyerang.

Kemunculan V3G4 menegaskan bahwa perangkat IoT dan server Linux tetap menjadi sasaran empuk para pelaku kejahatan siber. Dengan jumlah perangkat IoT yang terus bertambah dan banyak di antaranya memiliki keamanan yang minim, risiko penyebaran malware seperti ini akan semakin meningkat.

Organisasi dan pengguna diharapkan memperkuat keamanan sistem mereka melalui pembaruan rutin, penggunaan kata sandi yang kuat, pembatasan akses SSH, serta pemantauan menyeluruh terhadap proses dan aktivitas jaringan.