Cyberthreat.id – Peneliti sejauh ini belum bisa mendeteksi asal usul botnet KmsdBot.

Namun, penyelidikan Akamai, perusahaan perlindungan serangan distributed denial of service (DDoS), baru-baru ini meyakini bahwa aktivitas di balik botnet tersebut berasal dari Rusia dan sekitarnya.

“Ada aktivitas yang sangat minim yang menargetkan wilayah Rusia dan tetangganya, yang mungkin menjadi indikator berguna untuk menentukan asal sebenarnya dari serangan ini,” Akamai menjelaskan.

Akamai mengatakan, KmsdBot dipakai untuk serangan cryptomining. Namun, dilihat berdasarkan jumlah target dan persebarannya, botnet tersebut diyakini sebagai layanan DDoS yang disewakan.

“Berdasarkan IP dan domain yang diamai, mayoritas korban berada di Asia, Amerika Utara, dan Eropa,” kata peneliti Akamai, Larry Cashdollar  dan Allen West di blog perusahaan, Senin (19 Desember 2022).

KmsdBot adalah perangkat lunak jahat yang ditulis dalam bahasa Go.

Cerita malware tersebut bermula pada November lalu. Botnet itu terjaring dalam sistem honeypot Akamai. Dalam analisis awal, malware ini lebih ke serangan cryptomining. Tapi, setelah mengarahkan perintah dan kontrol (C2) ke server Akamai, peneliti bisa menyimulasikan serangan ke perangkat tertentu.

Dua perintah khusus menonjol karena tampaknya menargetkan server modifikasi video game. Peneliti mengatakan sejauh ini dua target penting KmsdBot yaitu FiveM dan RedM. Keduanya adalah platform untuk menghosting server game Grand Theft Auto V dan Red Dead Redemption 2 yang dimodifikasi.

“Adanya kedua perintah tersebut mendukung dugaan bahwa malware ini merupakan bentuk DDoS untuk disewa. Teori ini juga didukung oleh beragam industri yang menjadi sasaran: game, merek mewah, dan bahkan perusahaan keamanan siber,” tulis peneliti.

Peneliti juga mengidentifikasi 18 perintah berbeda yang diterima KmsdBot dari server jarak jauh, salah satunya bernama "bigdata", yang melayani pengiriman paket sampah yang berisi data dalam jumlah besar ke target dalam upaya menghabiskan bandwidth-nya alias serangan DDoS.

Juga, termasuk perintah seperti "fivem" dan "redm" yang dirancang untuk menargetkan server modifikasi video game, di samping instruksi "scan" yang "tampaknya menargetkan jalur tertentu dalam lingkungan target."

Temuan malware itu sepekan setelah Microsoft merinci botnet lintas platform yang dikenal sebagai “MCCrash” yang melakukan serangan DDoS terhadap server pengembang game, Minecraft, tulis Hacker News.[]