Sebuah serangan siber baru yang sangat canggih berhasil ditemukan, kali ini berasal dari kelompok hacker APT37 asal Korea Utara. Mereka menggunakan varian malware bernama RoKRAT yang sulit terdeteksi karena tidak menyimpan virusnya dalam file biasa, melainkan langsung berjalan di memori komputer korban (fileless) dan memanfaatkan trik canggih seperti file shortcut (.lnk) serta gambar yang ternyata menyimpan kode berbahaya.

Bagaimana cara kerjanya?
Penyerang biasanya mengirimkan file .zip berisi shortcut (.lnk) yang menyamar sebagai dokumen penting atau laporan intelijen. Ketika korban membuka shortcut tersebut, komputer langsung menjalankan program tersembunyi (PowerShell) untuk mengaktifkan kode virus yang sudah tersisip secara terenkripsi, langsung di dalam memori (tanpa membuat file virus nyata). Ini membuat banyak antivirus kesulitan mendeteksi.

Ada juga varian lain di mana RoKRAT mengunduh file gambar (JPEG) dari layanan cloud populer seperti Dropbox atau Yandex. Siapa sangka, gambar polos tersebut ternyata mengandung kode jahat yang tersembunyi menggunakan teknik bernama steganografi. Kode tersebut lalu dijalankan secara diam-diam untuk mengambil alih komputer.

Teknik ini sangat sulit dideteksi karena malware tidak meninggalkan jejak fisik—semua proses berjalan di balik layar, memakai aplikasi yang tampak normal seperti Notepad. Penjahat pun menggunakan trik tambahan seperti menyamarkan fungsi program (API Obfuscation) agar tak mudah dibaca oleh sistem keamanan.

Apa yang harus dilakukan?

• Jangan buka file shortcut (.lnk) dari email atau sumber yang mencurigakan.

• Waspadai file gambar atau dokumen yang diunduh dari cloud storage tidak resmi.

• Perhatikan aktivitas tidak wajar, seperti PowerShell berjalan tanpa alasan jelas.

• Edukasi diri dan tim kerja tentang trik-trik phishing terbaru.

Saat ini, berdasarkan hasil monitoring terbaru, belum ditemukan komputer pelanggan yang terdeteksi terinfeksi malware ini. Namun, tetap jaga kewaspadaan dan lakukan pembaruan sistem keamanan secara rutin!

Sumber Referensi: Analisis praktik APT37 mendistribusikan RoKRAT lewat shortcut dalam archive ZIP, memanfaatkan PowerShell, dan menyisipkan shellcode terenkripsi di dalam gambar JPEG untuk bypass antivirus
https://cybersecuritynews.com/apt37-hackers-weaponizes-jpeg-files/