Operasi malware pencuri informasi bernama Arkanix Stealer, yang dipromosikan di beberapa forum web gelap menjelang akhir tahun 2025, kemungkinan besar dikembangkan sebagai eksperimen yang dibantu AI.
Proyek ini menyertakan panel kontrol dan server Discord untuk berkomunikasi dengan pengguna, tetapi penulis menghapusnya tanpa pemberitahuan, hanya dua bulan setelah operasi dimulai.
Arkanix menawarkan banyak fitur standar pencurian data yang biasa digunakan oleh penjahat dunia maya, bersama dengan arsitektur modular dan fitur anti-analisis.
Peneliti Kaspersky menganalisis pencuri Arkanix dan menemukan petunjuk yang menunjukkan pengembangan yang dibantu LLM, yang “mungkin telah mengurangi waktu dan biaya pengembangan secara drastis.”
Sumber: Kaspersky
Para peneliti percaya bahwa Arkanix adalah proyek berumur pendek untuk mendapatkan keuntungan finansial dengan cepat, yang membuat deteksi dan pelacakan menjadi jauh lebih sulit.
Arkanix muncul online
Arkanix mulai dipromosikan di forum peretas pada bulan Oktober 2025, menawarkan dua tingkatan kepada calon pelanggan: tingkat dasar dengan implementasi berbasis Python, dan tingkat “premium” dengan muatan C++ asli menggunakan perlindungan VMProtect, yang mengintegrasikan fitur penghindaran AV dan injeksi dompet.
Sumber: Kaspersky
Pengembang menyiapkan server Discord yang bertindak sebagai forum bagi komunitas di sekitar proyek untuk menerima pembaruan, memberikan umpan balik untuk fitur yang diusulkan, dan menerima bantuan.
Selain itu, program rujukan dibuat untuk mempromosikan proyek secara lebih agresif, memberikan perujuk satu jam tambahan akses premium gratis, sementara calon pelanggan baru menerima akses gratis selama satu minggu ke versi “premium”.
Sumber: Kaspersky
Kemampuan mencuri data
Malware Arkanix dapat mengumpulkan informasi sistem, mencuri data yang tersimpan di browser (riwayat, info isi otomatis, cookie, kata sandi), dan data dompet cryptocurrency dari 22 browser. Kaspersky kata peneliti bahwa ia juga dapat mengekstrak token 0Auth2 di browser berbasis Chromium.
Selain itu, malware dapat mencuri data dari Telegram, mencuri kredensial Discord, menyebar melalui API Discord, dan mengirim pesan ke teman/saluran korban.
Arkanix juga menargetkan kredensial untuk Mullvad, NordVPN, ExpressVPN, dan ProtonVPN, dan dapat mengarsipkan file dari sistem file lokal untuk mengekstraknya secara asinkron.
Modul tambahan yang dapat diunduh dari perintah-dan-kontrol termasuk pengambil Chrome, penambal dompet untuk Exodus atau Atomic, alat tangkapan layar, HVNC, dan pencuri untuk FileZilla dan Steam.
Sumber: Kaspersky
Versi C++ asli “premium” menambahkan pencurian kredensial RDP, pemeriksaan anti-sandbox dan anti-debugging, tangkapan layar yang didukung WinAPI, dan juga menargetkan Epic Games, Battle.net, Riot, Unreal Engine, Ubisoft Connect, dan GOG.
Varian tingkat yang lebih tinggi juga menghadirkan alat pasca-eksploitasi ChromElevator, yang dimasukkan ke dalam proses browser yang ditangguhkan untuk pencurian data dan dirancang untuk melewati perlindungan Enkripsi Terikat Aplikasi (ABE) Google untuk akses tidak sah ke kredensial pengguna.
Tujuan eksperimen pencuri Arkanix masih belum jelas. Proyek ini mungkin merupakan upaya untuk menentukan bagaimana bantuan LLM dapat meningkatkan pengembangan malware dan seberapa cepat fitur-fitur baru dapat dikirimkan ke komunitas.
Penilaian Kaspersky adalah bahwa Arkanix “lebih merupakan produk perangkat lunak publik daripada pencuri yang licik.”
Para peneliti memberikan daftar lengkap indikator kompromi (IoC) yang mencakup hash untuk file yang terdeteksi, bersama dengan domain dan alamat IP.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
