Awas, Ada Botnet Tsundere Bidik Pengguna Windows

Jakarta, ID – Tim Riset dan Analisis Global Kaspersky (GReAT) telah menemukan botnet Tsundere yang muncul kembali pada Juli 2025. Botnet menargerkan pada pengguna perangkat dengan sistem operasi (operating system (OS) Windows.

Botnet merupakan jaringan komputer yang terinfeksi malware dan dikendalikan dari jarak jauh oleh peretas (botmaster) tanpa sepengetahuan pemiliknya.

Botnet berasal dari gabungan kata robot dan network (jaringan), di mana setiap komputer yang terinfeksi disebut bot dan berfungsi seperti zombie digital yang siap menjalankan perintah dari peretas untuk tujuan jahat.

Kali ini, untuk memikat korban, penyerang botnet Tsundere menggunakan penginstal MSI yang disamarkan sebagai pengaturan palsu untuk gim populer, terutama gim tembak-menembak seperti Valorant, CS2, atau R6x, serta perangkat lunak lain.

Botnet tersebut saat ini sedang berkembang dan menimbulkan ancaman aktif bagi pengguna perangkat dengan OS Windows. Botnet telah terdeteksi oleh Kaspersky antara lain di Meksiko, Chili, Rusia, dan Kazakhstan.

“Tsundere menunjukkan betapa cepatnya penjahat siber beradaptasi. Ini merupakan upaya baru oleh aktor ancaman yang diduga teridentifikasi untuk merombak perangkat mereka,” kata pakar keamanan senior di Tim Riset dan Analisis Global Kaspersky Lisandro Ubiedo, dikutip InfoDigital.co.id, Senin (24/11/2025).

Menurut dia, dengan beralih ke mekanisme Web3, infrastruktur botnet tersebut nya menjadi jauh lebih fleksibel dan tangguh. Selain itu, ada potensi pengembangan lebih lanjut botnet ini sangat mungkin terjadi.

Alur Kerja Tsundere

Botnet Tsundere menggunakan pendekatan yang makin populer dengan menggunakan kontrak pintar Web3 untuk menyimpan alamat perintah dan kontrol (C2), yang secara signifikan meningkatkan ketahanan infrastrukturnya.

Panel C2-nya mendukung dua format distribusi, yakni penginstal MSI dan skrip PowerShell dengan implan yang dibuat secara otomatis.

Implan tersebut akan menginstal bot yang mampu mengeksekusi kode JavaScript yang diterima secara dinamis, melalui saluran WebSocket terenkripsi, dari C2, yang dapat menyebabkan eksekusi berbahaya dari kode yang dikirim oleh penyerang.

Selanjutnya, untuk mengelola infeksi dan memperbarui lokasi C2, botnet Tsundere menggunakan referensi tetap pada blockchain Ethereum, seperti dompet dan kontrak yang telah ditentukan.

Mengubah server C2 pun hanya memerlukan satu transaksi yang memperbarui variabel status kontrak dengan alamat baru.

Ekosistem botnet tersebut juga mencakup ‘pasar terintegrasi’ dan panel kontrol yang dapat diakses melalui antarmuka yang sama.

Analisis itu pun menunjukkan dengan keyakinan tinggi bahwa pelaku ancaman di balik botnet Tsundere kemungkinan berbahasa Rusia, sebagaimana ditunjukkan oleh penggunaan bahasa Rusia dalam kode, sejalan dengan serangan sebelumnya yang terkait dengan pelaku yang sama.

Penelitian juga menunjukkan adanya hubungan antara botnet Tsundere dan 123 Stealer yang diciptakan oleh ‘koneko’, yang ditawarkan di forum bawah tanah seharga US$120.

Saran Kaspersky

Sementara itu, agar tetap aman dan terhindar dari penyusupan botnet Tsundere ke perangkat pintar/komputer, Kaspersky pun merekomendasikan beberapa langkah sebagai berikut.

1. Gunakan perangkat lunak berlisensi dan platform game resmi dari penerbit terverifikasi secara eksklusif. Praktik ini penting untuk melindungi perangkat dari akses tidak sah oleh pelaku kejahatan siber.

2. Pasang solusi keamanan tepercaya dan ikuti rekomendasinya. Solusi yang aman akan menyelesaikan sebagian besar masalah secara otomatis dan mengirimkan peringatan.

3. Hindari mengunduh berkas yang dapat dieksekusi dari sumber yang tidak dikenal atau tidak tepercaya.

4. Waspadai e-mail phishing yang meminta untuk memasang aplikasi dari situs yang tidak dikenal.

5. Patuhi praktik terbaik, termasuk pembaruan perangkat lunak secara berkala, penerapan kata sandi yang kuat dan autentikasi dua faktor, serta pemantauan berkelanjutan terhadap tanda-tanda peretasan. (bdm)