Tim Riset dan Analisis Global Kaspersky (GReAT) menemukan botnet baru yang dibuat oleh aktor ancaman yang muncul kembali pada Juli 2025.
Disebutkan bahwa untuk memikat korban, penyerang menggunakan penginstal MSI yang disamarkan sebagai pengaturan palsu untuk gim populer, terutama gim tembak-menembak seperti ‘Valorant’, ‘CS2’, atau ‘R6x’, serta perangkat lunak lainnya. Botnet ini saat ini sedang berkembang dan menimbulkan ancaman aktif bagi pengguna Windows. Botnet ini telah terdeteksi oleh Kaspersky di Meksiko, Chili, Rusia, dan Kazakhstan.
Botnet Tsundere menggunakan pendekatan yang semakin populer dengan menggunakan kontrak pintar Web3 untuk menyimpan alamat perintah dan kontrol (C2), yang secara signifikan meningkatkan ketahanan infrastrukturnya.
Panel C2-nya mendukung dua format distribusi: penginstal MSI dan skrip PowerShell dengan implan yang dibuat secara otomatis. Implan ini akan menginstal bot yang mampu mengeksekusi kode JavaScript yang diterima secara dinamis – melalui saluran WebSocket terenkripsi – dari C2, yang dapat menyebabkan eksekusi berbahaya dari kode yang dikirim oleh penyerang.
Untuk mengelola infeksi dan memperbarui lokasi C2, botnet Tsundere menggunakan referensi tetap pada blockchain Ethereum, seperti dompet dan kontrak yang telah ditentukan. Mengubah server C2 hanya memerlukan satu transaksi yang memperbarui variabel status kontrak dengan alamat baru. Ekosistem botnet ini juga mencakup pasar terintegrasi dan panel kontrol yang dapat diakses melalui antarmuka yang sama.
Analisis ini menunjukkan dengan keyakinan tinggi bahwa pelaku ancaman di balik botnet Tsundere kemungkinan berbahasa Rusia, sebagaimana ditunjukkan oleh penggunaan bahasa Rusia dalam kode, sejalan dengan serangan sebelumnya yang terkait dengan pelaku yang sama. Penelitian ini juga menunjukkan adanya hubungan antara botnet Tsundere dan 123 Stealer yang diciptakan oleh ‘koneko’, yang ditawarkan di forum bawah tanah seharga $120.
“Tsundere menunjukkan betapa cepatnya penjahat siber beradaptasi: ini merupakan upaya baru oleh aktor ancaman yang diduga teridentifikasi untuk merombak perangkat mereka. Dengan beralih ke mekanisme Web3, infrastrukturnya menjadi jauh lebih fleksibel dan tangguh. Kami sudah melihat distribusi aktif melalui penginstal game palsu dan tautan ke aktivitas berbahaya yang telah diamati sebelumnya, sehingga pengembangan lebih lanjut oleh botnet ini sangat mungkin terjadi,” kata Lisandro Ubiedo, pakar keamanan senior di Tim Riset dan Analisis Global Kaspersky.
