Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkap kampanye spionase siber PassiveNeuron yang sedang berlangsung. PassiveNeuron disebut menargetkan sistem Windows Server di lembaga pemerintahan, keuangan, serta industri di seluruh Asia, Afrika, dan Amerika Latin. Aktivitas ini telah diamati sejak Desember 2024 dan berlanjut hingga Agustus 2025.
Setelah enam bulan tidak aktif, PassiveNeuron telah kembali beroperasi, menggunakan tiga alat utama—dua di antaranya sebelumnya tidak dikenal—untuk mendapatkan dan mempertahankan akses ke jaringan yang ditargetkan.
Alat-alat ini meliputi:
• Neursite, sebuah backdoor modular;
• NeuralExecutor, sebuah implan berbasis .NET;
• Cobalt Strike, sebuah kerangka kerja pengujian penetrasi yang sering digunakan oleh pelaku ancaman.
Backdoor Neursite dapat mengumpulkan informasi sistem, mengelola proses yang berjalan, dan merutekan lalu lintas jaringan melalui host yang disusupi, memungkinkan pergerakan lateral dalam jaringan. Sampel ditemukan berkomunikasi dengan server perintah dan kontrol eksternal maupun sistem internal yang disusupi.
NeuralExecutor dirancang untuk mengirimkan muatan tambahan. Implan ini mendukung berbagai metode komunikasi dan dapat memuat serta mengeksekusi rakitan .NET yang diterima dari server perintah dan kontrolnya.
“PassiveNeuron menonjol karena fokusnya pada server yang disusupi, yang seringkali menjadi tulang punggung jaringan organisasi,” kata Georgy Kucherin, Peneliti Keamanan GReAT Kaspersky. “Server yang terekspos ke internet merupakan target yang sangat menarik bagi kelompok ancaman persisten tingkat lanjut (APT), karena satu host yang disusupi dapat menyediakan akses ke sistem kritikal. Oleh karena itu, penting untuk meminimalkan permukaan serangan yang terkait dengannya dan terus memantau aplikasi server untuk mendeteksi dan menghentikan potensi infeksi.”
Dalam sampel yang diamati oleh pakar GReAT Kaspersky, nama fungsi diganti dengan string yang berisi karakter Cyrillic, yang tampaknya sengaja diperkenalkan oleh para penyerang. Artefak semacam itu memerlukan evaluasi yang cermat selama atribusi, karena dapat berfungsi sebagai sinyal palsu yang dirancang untuk menyesatkan para analis.
Berdasarkan taktik, teknik, dan prosedur yang diamati, Kaspersky menilai dengan keyakinan rendah bahwa kampanye tersebut kemungkinan terkait dengan aktor ancaman berbahasa Mandarin. Sebelumnya pada tahun 2024, peneliti Kaspersky telah mendeteksi aktivitas dari PassiveNeuron dan menggambarkan kampanye tersebut menunjukkan tingkat kecanggihan yang tinggi.
