Dunia siber kembali dihadapkan pada ancaman baru setelah teridentifikasinya malware pencuri informasi yang dijuluki PupkinStealer. Pertama kali terdeteksi pada April 2025, malware ini dikembangkan menggunakan bahasa pemrograman C# dan berjalan di atas .NET framework, menjadikannya ancaman serius bagi pengguna sistem operasi Windows.

PupkinStealer dirancang secara khusus untuk mencuri data kredensial dari browser berbasis Chromium seperti Google Chrome, Microsoft Edge, Opera, dan Vivaldi. Malware ini mengeksploitasi kunci enkripsi lokal serta Windows Data Protection API (DPAPI) untuk mengekstrak informasi sensitif yang tersimpan secara lokal.

Baca Juga: Ancaman Siber Terbesar bagi UMKM di 2025: Phishing, Pembajakan Media Sosial, dan Ransomware

Namun bukan hanya browser yang jadi sasaran. PupkinStealer juga membidik:

• Sesi Telegram dan Discord
• Token akses pengguna
• Dokumen di desktop dengan ekstensi .pdf, .txt, .sql, .jpg, dan .png
• Screenshot lingkungan desktop pengguna

Malware ini disebarkan melalui metode rekayasa sosial klasik, seperti:

• Email phishing dengan lampiran berbahaya
• Unduhan dari situs palsu
• Tautan dari aplikasi perpesanan

Pengguna diminta untuk menjalankan file .exe yang tidak ditandatangani, yang kemudian mengaktifkan proses pencurian data secara diam-diam.

Salah satu keunggulan teknis PupkinStealer adalah mekanisme eksfiltrasi data yang canggih dan tersembunyi. Setelah berhasil mengumpulkan data, malware ini akan:

1. Mengarsipkan informasi curian ke dalam file ZIP dengan nama format:
   [Username]@ardent.zip
2. Menyimpan sementara file di direktori:
   %APPDATA%\Temp\[Username]\

3. Mengirim arsip tersebut ke penyerang melalui Telegram Bot API, menggunakan permintaan HTTP POST ke endpoint berikut:

   https://api.telegram.org/bot[TokenBot]/sendDocument?chat_id=[IDChat]

Penggunaan API Telegram sebagai saluran pengiriman data memungkinkan malware ini menghindari deteksi oleh sistem keamanan jaringan konvensional, karena lalu lintasnya tampak seperti komunikasi sah.

Meskipun tidak memiliki mekanisme persistensi — artinya tidak akan aktif kembali setelah perangkat di-restart — PupkinStealer tetap menjadi ancaman besar karena kemampuannya mencuri data dalam satu kali eksekusi. Peneliti dari Cybersec Sentinel memberikan malware ini skor ancaman 6.5/10 (Elevated) berkat efektivitasnya dalam mencuri kredensial dan mengambil alih sesi komunikasi.

Identifikasi awal dari kode internal malware menunjukkan bahwa pengembangnya kemungkinan menggunakan alias “Ardent”.

Dengan kemampuannya mengakses akun, mencuri sesi Telegram, dan menyalin file sensitif, PupkinStealer dapat menjadi pintu masuk untuk serangan rekayasa sosial lanjutan, termasuk penipuan akun bisnis dan pencurian identitas.

Para ahli keamanan menyarankan pengguna untuk:

• Menghindari membuka file .exe dari sumber tak dikenal
• Memperbarui antivirus dan firewall
• Mengaktifkan proteksi berbasis perilaku
• Memantau aktivitas Telegram yang tidak dikenal