Pelaku ancaman Ransomware yang dilacak sebagai Velvet Tempest menggunakan teknik ClickFix dan utilitas Windows yang sah untuk menyebarkan malware DonutLoader dan pintu belakang CastleRAT.
Para peneliti di firma intelijen ancaman penipuan dunia maya MalBeacon mengamati tindakan para peretas di lingkungan organisasi yang ditiru selama 12 hari.
Velvet Tempest, juga dilacak sebagai DEV-0504, adalah kelompok ancaman yang telah terlibat dalam serangan ransomware sebagai afiliasi setidaknya selama lima tahun.
Aktor ini telah dikaitkan dengan penyebaran beberapa jenis ransomware yang paling merusak: Ryuk (2018 – 2020), REvil (2019-2022), Lanjutan (2019-2022), Materi Hitam, Kucing Hitam/ALPHV (2021-2024), KunciBitDan RansomHub.
Sumber: MalBeacon
Serangan tersebut diamati oleh MalBeacon antara tanggal 3 dan 16 Februari di lingkungan replika organisasi nirlaba di AS dengan lebih dari 3.000 titik akhir dan lebih dari 2.500 pengguna.
Setelah mendapatkan akses, operator Velvet Tempest melakukan aktivitas keyboard langsung, termasuk pengintaian Direktori Aktif, penemuan host, dan pembuatan profil lingkungan, serta menggunakan skrip PowerShell untuk mengambil kredensial yang disimpan di Chrome.
Skrip dihosting pada alamat IP yang ditautkan oleh peneliti ke alat yang digunakan untuk intrusi ransomware Rayap.
Menurut para peneliti, Velvet Tempest memperoleh akses awal melalui kampanye malvertising yang menghasilkan campuran ClickFix dan CAPTCHA yang menginstruksikan korban untuk menempelkan perintah yang dikaburkan ke dalam dialog Windows Run.
Sumber: MalBeacon
Perintah yang ditempel memicu bersarang cmd.exe rantai dan digunakan jari.exe untuk mengambil pemuat malware pertama. Salah satu muatannya adalah file arsip yang disamarkan sebagai file PDF.
Pada tahap selanjutnya, Velvet Tempest menggunakan PowerShell untuk mengunduh dan menjalankan perintah yang mengambil muatan tambahan, mengkompilasi komponen .NET melalui csc.exe di direktori sementara, dan terapkan komponen berbasis Python untuk persistensi di C:ProgramData.
Operasi tersebut pada akhirnya melancarkan DonutLoader dan mengambil pintu belakang CastleRAT, sebuah trojan akses jarak jauh yang terkait dengan pemuat malware CastleLoader yang dikenal karena mendistribusikan banyak keluarga RAT dan pencuri informasi, seperti Pencuri Lumma.
Ransomware rayap sebelumnya telah merenggut korban-korban terkenal seperti penyedia SaaS Biru di sana dan raksasa IVF Australia Gen.
Meskipun Velvet Tempest biasanya dikaitkan dengan serangan pemerasan ganda, di mana sistem korban dienkripsi setelah mencuri data perusahaan, laporan MalBeacon mencatat bahwa pelaku ancaman tidak menyebarkan ransomware Rayap dalam intrusi yang diamati.
Beberapa pelaku ransomware telah mengadopsi teknik CkickFix dalam serangan. Sekoia reported pada bulan April 2025 geng ransomware Interlock menggunakan metode rekayasa sosial untuk menembus jaringan perusahaan.
Laporan Merah 2026: Mengapa Enkripsi Ransomware Turun 38%
Malware semakin pintar. Laporan Merah 2026 mengungkapkan bagaimana ancaman baru menggunakan matematika untuk mendeteksi kotak pasir dan bersembunyi di depan mata.
Unduh analisis kami terhadap 1,1 juta sampel berbahaya untuk mengungkap 10 teknik teratas dan lihat apakah tumpukan keamanan Anda tidak diketahui.
