Broker akses awal KongTuke telah berpindah ke Microsoft Teams untuk melakukan serangan rekayasa sosial, hanya membutuhkan waktu lima menit untuk mendapatkan akses terus-menerus ke jaringan perusahaan.
Pelaku ancaman menipu pengguna untuk menempelkan perintah PowerShell yang pada akhirnya mengirimkan ModeloRAT, yang sebelumnya terlihat dalam serangan ClickFix[[1, 2].
Broker akses awal (IAB) seperti KongTuke biasanya menjual akses jaringan perusahaan kepada operator ransomware, yang menggunakannya untuk menyebarkan malware pencurian file dan enkripsi data.
Penjahat dunia maya semakin meningkat mengadopsi Microsoft Teams dalam serangan, menjangkau karyawan perusahaan dan berpura-pura menjadi staf TI dan pusat bantuan.
Para korban diyakinkan untuk menjalankan perintah PowerShell berbahaya di sistem mereka, yang menyebarkan malware “ModeloRAT”.
Sumber: ReliaQuest
Peneliti ReliaQuest mengamati aktivitas ini dan mengatakan bahwa ini adalah perubahan taktik KongTuke, yang sebelumnya hanya mengandalkan “berbasis web”Perbaikan File” Dan “Perbaikan Kerusakan” umpan.
“Aktivitas Teams ini, yang tampaknya menambah, bukan menggantikan, pendekatan berbasis web, menandai pertama kalinya kami melihat KongTuke menggunakan platform kolaborasi untuk akses awal,” jelas ReliaQuest.
“Dalam insiden yang kami selidiki, satu obrolan Teams eksternal mengubah operator dari penjangkauan biasa menjadi tetap bertahan dalam waktu kurang dari lima menit.”
Kampanye ini telah aktif setidaknya sejak April 2026, dengan KongTuke melakukan rotasi melalui lima penyewa Microsoft 365 untuk menghindari pemblokiran, kata para peneliti.
Untuk menyamar sebagai staf dukungan TI internal, penyerang menggunakan trik spasi Unicode untuk membuat nama tampilan tampak sah.
Perintah PowerShell berbahaya yang dibagikan melalui Teams mengunduh arsip ZIP dari Dropbox yang berisi lingkungan WinPython portabel, yang pada akhirnya meluncurkan malware berbasis Python, ModeloRAT (Pmanager.py).
Malware ini mengumpulkan informasi sistem dan pengguna, menangkap tangkapan layar, dan dapat mengekstraksi file dari sistem file host.
ReliaQuest mencatat bahwa versi ModeloRAT yang digunakan dalam kampanye baru-baru ini telah berkembang dibandingkan dengan apa yang terlihat pada operasi sebelumnya, sebagian besar dalam tiga cara:
- Arsitektur C2 yang lebih tangguh dengan kumpulan lima server, failover otomatis, jalur URL acak, dan kemampuan pembaruan mandiri.
- Beberapa jalur akses independen, termasuk RAT primer, shell terbalik, dan pintu belakang TCP, berjalan pada infrastruktur terpisah untuk mempertahankan akses jika satu saluran terganggu.
- Mekanisme persistensi yang diperluas menggunakan tombol Jalankan, pintasan Startup, peluncur VBScript, dan tugas terjadwal tingkat SISTEM yang mungkin bertahan dalam prosedur pembersihan standar.
Para peneliti mencatat bahwa tugas yang dijadwalkan tidak dihilangkan oleh rutinitas penghancuran diri implan, yang menghapus mekanisme persistensi lainnya, dan dapat bertahan melalui reboot sistem.
Sumber: ReliaQuest
Untuk bertahan dari serangan yang dimulai oleh Tim, disarankan untuk membatasi federasi Microsoft Teams eksternal menggunakan daftar yang diizinkan untuk memblokir upaya ini pada awalnya.
Selain itu, administrator dapat menggunakan indikator kompromi yang tersedia dalam laporan ReliaQuest untuk mencari serangan, tanda-tanda kompromi, dan artefak persistensi.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
