Para peneliti keamanan siber kembali menyoroti munculnya kampanye serangan siber baru yang menargetkan sektor otomotif dan e-commerce di Rusia. Serangan ini menggunakan malware berbasis .NET yang belum pernah didokumentasikan sebelumnya, diberi nama CAPI Backdoor.

Menurut laporan dari Seqrite Labs, metode serangan dimulai dengan distribusi email phishing. Email tersebut membawa lampiran berupa arsip ZIP yang dirancang untuk memicu infeksi pada perangkat korban.

Arsip ZIP yang dikirimkan berisi dua komponen utama: sebuah dokumen umpan berbahasa Rusia, yang diklaim sebagai pemberitahuan resmi terkait undang-undang pajak penghasilan, dan sebuah berkas shortcut Windows (LNK).

Berkas LNK inilah yang menjadi kunci utama serangan. Dinamai mirip dengan dokumen umpan ("Перерасчет заработной платы 01.10.2025" atau "Perhitungan Ulang Gaji 01.10.2025"), berkas ini bertugas mengeksekusi implant .NET bernama "adobe.dll".

Eksekusi ini dilakukan dengan memanfaatkan biner legal Microsoft, yaitu "rundll32.exe". Penggunaan alat sistem yang sah ini dikenal sebagai teknik Living-off-the-Land (LotL), yang memungkinkan pelaku kejahatan siber (threat actor) menjalankan aksinya sambil menghindari deteksi oleh sistem keamanan tradisional.

Setelah menginfeksi sistem, CAPI Backdoor berfungsi ganda sebagai backdoor dan pencuri data (stealer). Malware ini dirancang untuk:

1. Mengecek hak akses administrator.
2. Mengumpulkan daftar perangkat lunak antivirus yang terinstal.
3. Memperlihatkan dokumen palsu di layar sebagai pengalihan perhatian korban.

Baca Juga: Gawat! Serangan Siber F5 Ancam Lebih dari 600 Ribu Perangkat Internet

Secara rahasia, malware akan terhubung ke server jarak jauh (91.223.75[.]96) untuk menerima perintah lebih lanjut. Perintah-perintah ini memungkinkan CAPI Backdoor untuk:

• Mencuri data dari peramban web populer seperti Google Chrome, Microsoft Edge, dan Mozilla Firefox.
• Mengambil tangkapan layar.
• Mengumpulkan informasi sistem secara detail.
• Mengidentifikasi isi folder, lalu mengeksfiltrasi (mengirimkan) semua data curian tersebut kembali ke server penyerang.

Lebih lanjut, malware ini sangat cermat. Ia menjalankan serangkaian pemeriksaan ekstensif untuk memastikan perangkat yang diinfeksi adalah host asli, bukan lingkungan mesin virtual (Virtual Machine), yang biasanya digunakan oleh peneliti keamanan.

Untuk memastikan serangannya bertahan lama, CAPI Backdoor juga menerapkan dua metode persistensi, termasuk mengatur tugas terjadwal (scheduled task) dan membuat shortcut LNK di folder Windows Startup.

Penilaian Seqrite yang mengarah pada penargetan sektor otomotif Rusia didukung oleh penemuan domain berbahaya yang meniru situs resmi. Salah satu domain yang terhubung dengan kampanye ini, yaitu carprlce[.]ru, memiliki kemiripan yang kuat dengan situs resmi carprice[.]ru.

Peneliti Priya Patel dan Subhajeet Singha menyimpulkan bahwa muatan berbahaya dalam serangan ini adalah DLL .NET yang berfungsi sebagai stealer yang tangguh dan mampu membangun persistensi untuk serangan atau aktivitas jahat di masa depan. Serangan ini menjadi peringatan bagi perusahaan di sektor kritis untuk meningkatkan kewaspadaan terhadap serangan phishing yang semakin canggih.