Security

Weaponized Python and Linux Malware Target Executives and Cloud Systems

PT. Karya Informasi Nusantara

10 April 2026

Dua kampanye malware yang baru terungkap mengeksploitasi perangkat lunak sumber terbuka di lingkungan Windows dan Linux untuk menargetkan para eksekutif perusahaan dan sistem cloud.

Persistensi Tanpa Berkas untuk Kontrol Tingkat Kernel

Menurut laporan ReliaQuest yang ditulis oleh Emily Jia, DLL yang disusupi (sideloaded) akan memasukkan interpreter Python ke dalam sistem. Proses tersebut kemudian membuat kunci Run di Windows Registry yang memastikan interpreter Python berjalan secara otomatis setiap kali login.

Interpreter kemudian mengeksekusi shellcode yang dikodekan Base64 langsung di memori, menghindari artefak forensik pada disk. Muatan akhir mencoba berkomunikasi dengan server eksternal, sehingga memberikan penyerang akses jarak jauh yang berkelanjutan ke host yang disusupi dan memungkinkan eksfiltrasi data.

Yang kedua adalah kerangka kerja malware Linux yang dikembangkan di Tiongkok, yang disebut VoidLink, yang menargetkan lingkungan cloud. Perusahaan keamanan siber Check Point Research menunjukkan bahwa VoidLink mewakili evolusi signifikan dalam malware yang menargetkan Linux karena merupakan Kompilasi Rootkit Sisi Server (SRC) pertama yang terdokumentasi. Server perintah dan kontrol (C2) membangun modul kernel sesuai permintaan untuk setiap versi kernel spesifik target, memecahkan masalah portabilitas yang telah membatasi rootkit Modul Kernel yang Dapat Dimuat (LKM).

“VoidLink adalah preseden berbahaya dalam kecanggihan malware yang menargetkan Linux. Fungsionalitas ini memecahkan masalah mendasar yang membatasi penyebaran rootkit kernel di berbagai lingkungan infrastruktur heterogen,” kata Mayuresh Dani, manajer riset keamanan di Qualys Threat Research Unit, kepada LinuxInsider.

Teknik Lama, Rekayasa Sosial Baru

Sean Malone, kepala petugas keamanan informasi di BeyondTrust, mengatakan kepada LinuxInsider bahwa teknik sideloading bukanlah hal baru. Teknik ini menghindari penempatan biner berbahaya pada disk karena interpreter Python akan diklasifikasikan dengan benar sebagai program yang tidak berbahaya.

“Meskipun demikian, teknik ini tidak sepenuhnya sehalus teknik yang sepenuhnya memanfaatkan sumber daya yang ada, karena memang membutuhkan biner tambahan yang kemungkinan besar tidak ada secara default pada sebagian besar sistem pengguna,” jelasnya.

Malone menambahkan bahwa menggunakan media sosial untuk menyebarkan malware adalah permainan kucing dan tikus yang terus-menerus. Ada potensi besar yang belum dimanfaatkan oleh pihak lawan di sana.

“Setiap platform media sosial tentu termotivasi untuk membatasi perilaku tersebut. Namun, ini adalah masalah yang sulit dipecahkan,” katanya.

Menurut Jason Soroko, peneliti senior di platform manajemen sertifikat Sectigo, inovasinya bukan pada eksekusi teknis, tetapi pada vektor rekayasa sosial yang digunakan untuk mengirimkan muatan berbahaya. Alih-alih mengandalkan email phishing generik, para penyerang ini membangun kepercayaan dengan target bernilai tinggi melalui pesan langsung di LinkedIn.

“Pendekatan personal ini memanfaatkan konteks profesional platform untuk menurunkan kewaspadaan korban sebelum membujuk mereka untuk mengunduh file yang berisi ancaman. Kampanye ini berhasil dengan menggabungkan bypass teknis standar dengan manipulasi hubungan profesional yang sangat terarah,” katanya kepada LinuxInsider.

Langkah-langkah Pertahanan untuk Menghadapi Ancaman Linux yang Sedang Berkembang

Dani dari Qualys mencatat bahwa hal yang melegakan dalam pertahanan terhadap VoidLink adalah para peneliti menemukan kerangka kerja tersebut sebagai versi “dalam pengembangan” dengan simbol debug yang masih tertanam. Akibatnya, VoidLink masih belum selesai. Pelaku ancaman sedang mempersiapkan penyebaran operasional yang akan segera terjadi tetapi belum memulai penargetan skala besar.

“Namun, ini juga berarti bahwa VoidLink belum menjadi produk jadi, tetapi sedang dalam pengembangan dan penyebaran aktif,” katanya.

Dani merekomendasikan agar organisasi mengambil langkah-langkah spesifik sekarang untuk mengoperasionalkan perburuan ancaman seputar indikator VoidLink. Ini termasuk:

Memantau aplikasi yang dikompilasi dalam bahasa pemrograman Zig.
Terapkan deteksi ancaman saat runtime untuk mendeteksi eksekusi tanpa file melalui memfd_create yang dikombinasikan dengan execveat.
Pantau lalu lintas ICMP untuk pola anomali, khususnya permintaan echo (ICMP tipe 8) dengan bidang ID 0xC0DE.
Lakukan audit pemuatan modul kernel dengan membuat inventaris dasar modul kernel yang dimuat melalui lsmod dan /proc/modules
Lakukan inventarisasi dan batasi akses metadata cloud melalui kebijakan jaringan jika memungkinkan, dan berikan peringatan pada pola akses yang tidak biasa dari proses yang tidak terduga.
Tetapkan standar dasar untuk penamaan proses, karena thread kernel yang sah tidak memiliki executable di ruang pengguna.
Aktifkan pemantauan pemuatan program eBPF melalui syscall bpf().
Perkuat dan terapkan kebijakan keamanan kontainer.
Perketat pengaturan kernel untuk membatasi pemuatan modul kernel yang tidak ditandatangani.

Meskipun VoidLink masih belum selesai dan indikator saat ini terbatas, kerangka kerja ini menunjukkan seberapa cepat malware yang menargetkan Linux dapat berevolusi setelah penyebaran operasional dimulai. Membangun visibilitas dan tolok ukur sekarang memberi para pembela kesempatan yang sempit untuk mendeteksi dan mengganggu teknik-teknik ini sebelum teknik tersebut matang dan berkembang.