Awas, Ada Spionase PassiveNeuron Incar Windows Server

Jakarta, ID – Tim Riset dan Analisis Global Kaspersky mengingatkan adanya ancaman spionase ancaman siber PassiveNeuron yang menargetkan sistem Windows Server di lembaga pemerintahan, keuangan, dan industri di wilayah Asia, Afrika, dan Amerika Latin.

Tim Riset dan Analisis Global Kaspersky (GReAT) mengamati aktivitas spionase siber PassiveNeuron telah berlangsung sejak Desember 2024 dan masih berlanjut hingga Agustus 2025.

“PassiveNeuron menonjol karena fokusnya pada server yang disusupi, yang seringkali menjadi tulang punggung jaringan organisasi,” kata Peneliti Keamanan GReAT Kaspersky Georgy Kucherin, dikutip InfoDigital.co.id, Rabu (5/11/2025).

Menurut dia, server yang terekspos ke internet merupakan target yang sangat menarik bagi kelompok ancaman persisten tingkat lanjut (APT), karena satu host yang disusupi dapat menyediakan akses ke sistem kritikal.

“Karena itu, penting untuk meminimalisasi permukaan serangan yang terkait dengannya dan terus memantau aplikasi server untuk mendeteksi dan menghentikan potensi infeksi,” sarannya.

Sementara itu, Kaspersky mendeteksi PassiveNeuron beraktivitas menggunakan tiga alat serangan utama untuk mendapatkan dan mempertahankan akses ke jaringan korban/sasaran yang ditargetkan.

Alat-alat serangan utama terdiri atas, pertama, Neursite, sebuah backdoor modular. Kedua, NeuralExecutor, sebuah implan berbasis .NET.

Ketiga, Cobalt Strike, sebuah kerangka kerja pengujian penetrasi yang sering digunakan oleh pelaku ancaman.

Backdoor Neursite dapat mengumpulkan informasi sistem, mengelola proses yang berjalan, dan merutekan lalu lintas jaringan melalui host yang disusupi, sehingga memungkinkan pergerakan lateral dalam jaringan.

Selanjutnya, NeuralExecutor dirancang untuk mengirimkan muatan tambahan. Implan ini mendukung berbagai metode komunikasi dan dapat memuat serta mengeksekusi rakitan.

Terakhir, .NET, terkait kontrol dan  perintah yang diterima dari server Windows.

Karakter PassiveNeuron

Sementara itu, dalam sampel yang diamati oleh pakar GReAT Kaspersky, nama fungsi PassiveNeuron diganti dengan string yang berisi karakter Cyrillic, yang tampaknya sengaja diperkenalkan oleh para penyerang.

Artefak semacam itu memerlukan evaluasi yang cermat selama atribusi, karena dapat berfungsi sebagai sinyal palsu yang dirancang untuk menyesatkan para analis.

Berdasarkan taktik, teknik, dan prosedur yang diamati, Kaspersky menilai dengan keyakinan rendah bahwa kampanye tersebut kemungkinan terkait dengan aktor ancaman berbahasa Mandarin.

Sabelumnya, pada 2024, peneliti Kaspersky telah mendeteksi aktivitas dari PassiveNeuron dan menggambarkan kampanye tersebut menunjukkan tingkat kecanggihan yang tinggi.