Cyberthreat.id - China ternyata memiliki pangsa serangan malware yang cukup besar meskipun jarang didengar. Baru-baru ini, trojan DoubleGuns meraih posisi teratas dalam daftar botnet China.

Botnet adalah sekumpulan program yang saling terhubung melalui Internet yang berkomunikasi dengan program-program sejenis untuk melakukan tugas tertentu. Botnet bisa dipakai untuk menjaga keamanan kanal IRC, mengirimkan email spam, atau berpartisipasi dalam serangan DDos.

DoubleGuns adalah trojan malware yang telah beroperasi sejak 2017 dan dalam tiga tahun terakhir tidak ada perubahan besar meskipun skala operasi semakin meningkat. Malware ini diperbanyak melalui aplikasi boobytrapped yang dibagikan di situs web Cina. Namun, Qihoo 360 bekerja sama dengan Baidu berkolaborasi untuk menghentikan operasi botnet.

Hampir semua nama domain dikaitkan dengan malware ini di dua alamat IP yakni 125 [.] 124 [.] 255 [.] 20 dan 125 [.] 124 [.] 255 [.] 79. Geng DoubleGuns memiliki kontrol jangka panjang dan stabil dari sejumlah besar IP di 125 [.] 124 [.] 255 [.] 0/24 dan sumber daya jaringan mereka sangat kaya.

Infeksi menjalar dalam skala besar yang mendorong pengguna untuk menginstal game online yang mengandung malware.

Dilansir dari Cyware Hacker News, selama tiga tahun terakhir, geng malware DoubleGuns telah menggunakan taktik steganografi dan mengunduh gambar dari layanan Tieba.

Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan pesan dengan suatu cara, sehingga, selain si pengirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa terdapat suatu pesan rahasia. 

Perkiraan jumlah komputer yang terinfeksi mencapai "ratusan ribu" meskipun Baidu dan Qihoo telah melakukan sejumlah takedown dari imej yang digunakan oleh hacker.

Sejak awal, grup malware telah sering kali diekspos oleh peneliti keamanan, tetapi mereka selalu kembali lebih kuat. Ini menandakan bahwa saluran distribusi DoubleGuns sangat luas.

Gangguan yang diciptakan oleh Qihoo dan Baidu terhadap Malware ini mungkin bersifat sementara karena elemen lain dari infrastruktur botnet masih beroperasi.