Payouts King Ransomware di Dalam Mesin Virtual

Image credit: Freepix

Payouts King Ransomware di Dalam Mesin Virtual – Operasi ransomware Payout King baru-baru ini terdeteksi menggunakan teknik yang sangat cerdik.

Untuk mengelabui solusi keamanan, memanfaatkan emulator QEMU sebagai pintu belakang (backdoor) SSH terbalik.

Teknik ini memungkinkan penyerang menjalankan mesin virtual (VM) tersembunyi di dalam sistem yang terinfeksi, menciptakan zona gelap yang tidak dapat dipindai oleh perangkat lunak keamanan di komputer inang (host).

QEMU sendiri adalah alat virtualisasi sumber terbuka yang sah. Namun, karena solusi keamanan endpoint biasanya tidak memiliki visibilitas ke dalam proses yang berjalan di dalam mesin virtual tersebut.

Peretas memanfaatkannya untuk menjalankan payload berbahaya, menyimpan file ilegal, dan membangun terowongan akses jarak jauh yang sulit dideteksi.

Dua Kampanye Berbahaya

Peneliti keamanan mendokumentasikan dua kampanye berbeda yang menggunakan persenjataan QEMU ini untuk mencuri kredensial domain:

  1. Kampanye STAC4713 (Payouts King): Pertama kali diamati pada November 2025, kampanye ini dikaitkan dengan grup ancaman GOLD ENCOUNTER. Grup ini dikenal spesifik menargetkan lingkungan hypervisor seperti VMware dan ESXi.
  2. Kampanye STAC3725: Aktif sejak Februari 2026, kampanye ini mengeksploitasi kerentanan baru CitrixBleed 2 (CVE-2025-5777) pada perangkat NetScaler ADC dan Gateway.

Baca juga: Serangan SQL Injection

Infiltrasi Lewat VM Alpine Linux

Dalam kampanye Payouts King, penyerang membuat tugas terjadwal bernama ‘TPMProfiler’ untuk meluncurkan mesin virtual QEMU dengan hak akses SYSTEM.

Mereka menyamarkan file disk virtual sebagai basis data atau file DLL agar tidak mencurigai admin sistem.

Mesin virtual tersebut menjalankan Alpine Linux versi 3.22.0 yang sudah dimuati dengan berbagai alat peretas seperti AdaptixC2, Chisel, BusyBox, dan Rclone.

Akses awal sering kali didapat melalui kerentanan pada VPN SonicWall, kerentanan Web Help Desk SolarWinds (CVE-2025-26399).

Atau melalui rekayasa sosial di Microsoft Teams di mana penyerang menyamar sebagai staf IT untuk membujuk karyawan mengunduh QuickAssist.

Setelah infeksi berhasil, penyerang menggunakan perintah sistem untuk menyalin basis data direktori aktif (NTDS.dit) dan sarang registri sistem (SAM) ke direktori sementara untuk dicuri.

Laporan terbaru menyebutkan bahwa Payouts King kemungkinan berafiliasi dengan mantan anggota grup ransomware BlackBasta, terlihat dari kemiripan metode serangan mereka.

Teknik Enkripsi dan Anti-Analisis

Payouts King menggunakan skema enkripsi yang sangat kuat, yakni gabungan AES-256 (CTR) dan RSA-4096.

Untuk mempercepat proses pada file berukuran besar, mereka menggunakan teknik enkripsi berselang (intermittent encryption).

Selain itu, malware ini dilengkapi dengan mekanisme anti-analisis yang berat dan mampu menghentikan alat keamanan menggunakan panggilan sistem tingkat rendah (low-level system calls).

Pada kampanye kedua (STAC3725), penyerang yang masuk melalui celah Citrix akan memasang klien ScreenConnect untuk persistensi, lalu menjalankan VM Alpine Linux secara manual.

Di dalam VM tersebut, mereka mengompilasi alat-alat canggih seperti Impacket, BloodHound.py, dan Metasploit untuk melakukan pengintaian Active Directory dan pengumpulan kredensial secara massal.

Baca juga: Vibeware

Keamanan dan Mitigasi

Melihat tren penggunaan virtualisasi sebagai alat persembunyian di tahun 2026, organisasi perlu memperketat pengawasan infrastruktur mereka. Peneliti dari ESET dan pakar keamanan lainnya menyarankan langkah-langkah berikut:

  1. Segera periksa apakah ada instalasi QEMU atau perangkat lunak virtualisasi lain yang tidak sah di lingkungan kerja Anda.
  2. Waspadai tugas terjadwal yang berjalan dengan hak akses SYSTEM, terutama yang memiliki nama tidak biasa atau merujuk pada file DLL yang mencurigakan.
  3. Pantau aktivitas port forwarding SSH yang tidak lazim atau koneksi SSH keluar pada port non-standar, karena ini merupakan indikasi kuat adanya akses jarak jauh ilegal.
  4. Solusi seperti ESET PROTECT MDR dapat membantu mendeteksi perilaku anomali, seperti proses sideloading DLL (misalnya vcruntime140_1.dll) atau penggunaan alat Rclone untuk pengiriman data ke lokasi luar yang mencurigakan.

Kasus Payouts King menunjukkan bahwa batas antara alat administratif yang sah dan senjata siber semakin kabur.

Dengan menjalankan seluruh operasi serangan di dalam mesin virtual terisolasi, peretas berharap dapat melewati pertahanan siber konvensional.

Di tahun 2026, resiliensi siber tidak hanya berarti menjaga pintu depan tetap terkunci, tetapi juga memastikan tidak ada “komputer di dalam komputer” yang beroperasi secara gelap di dalam jaringan Anda.

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Bahaya Identitas Hantu dalam Perusahaan

Bahaya Identitas Hantu dalam Perusahaan

April 21, 2026 0
Router TP Link Lawas Dibidik Mirai

Router TP Link Lawas Dibidik Mirai

April 21, 2026 0

You may have missed

Bahaya Identitas Hantu dalam Perusahaan

Bahaya Identitas Hantu dalam Perusahaan

April 21, 2026 0
Payouts King Ransomware di Dalam Mesin Virtual

Payouts King Ransomware di Dalam Mesin Virtual

April 21, 2026 0
Router TP Link Lawas Dibidik Mirai

Router TP Link Lawas Dibidik Mirai

April 21, 2026 0
Penipuan Notifikasi Kebocoran Data Palsu

Penipuan Notifikasi Kebocoran Data Palsu

April 21, 2026 0
Melindungi Mata Rantai Terlemah

Melindungi Mata Rantai Terlemah

April 20, 2026 0
Mengenal Trojan dan Cara Menangkalnya

Mengenal Trojan dan Cara Menangkalnya

April 20, 2026 0