Ketika kebanyakan orang memikirkan senjata siber, mereka membayangkan alat yang dibuat di laboratorium rahasia pemerintah. Namun beberapa senjata digital paling ampuh saat ini tidak dimulai sebagai proyek negara. Mereka lahir di dunia kriminal bawah tanah.
Salah satu contoh paling jelas adalah RomCom, sebuah bagian dari perangkat lunak perusak yang awalnya merupakan trojan akses jarak jauh (RAT) yang relatif biasa dan sejak itu berevolusi menjadi ekosistem modular yang fleksibel yang kini digunakan oleh negara-bangsa dan penyerang yang berorientasi pada keuntungan.
Wakil Presiden Riset Musuh, Attackiq.
Kisahnya mengungkap bagaimana batas antara spionase dan kejahatan terorganisir menjadi kabur, dan mengapa informasi tersebar luas keamanan siber komunitas tidak pernah sepenting ini.
Dari pintu belakang hingga medan perang
RomCom pertama kali muncul pada tahun 2022 sebagai pintu belakang yang didistribusikan melalui versi palsu dari aplikasi populer—umpan rekayasa sosial klasik. Seperti kebanyakan RAT, ia dapat mengambil tangkapan layar, mengumpulkan informasi sistem dasar, dan membuat kendali jarak jauh. Tidak ada yang luar biasa, sampai para peneliti mulai memperhatikan di mana kemunculannya.
Kampanye awal berfokus pada Ukraina dan negara-negara yang bersekutu dengan NATO, menargetkan badan-badan pemerintah, kelompok kemanusiaan, dan organisasi yang terkait dengan pertahanan. Apa yang awalnya tampak seperti RAT komoditas kini menjadi bagian dari operasi intelijen yang lebih luas dengan landasan geopolitik yang jelas.
AttackIQ menggali lebih dalam dan menemukan tumpang tindih antara infrastruktur RomCom dan ransomware operasi, menyarankan satu aktor, atau setidaknya perangkat bersama, yang bekerja di bidang spionase dan motivasi finansial.
Peralihan dari keuntungan ke politik menandai dimulainya transformasi RomCom.
Ancaman yang bisa berubah bentuk
Selama beberapa tahun, RomCom telah mengalami beberapa kali penulisan ulang, berubah menjadi setidaknya lima versi berbeda. Setiap generasi menambahkan tingkat kecanggihan, siluman, dan modularitas baru.
– Versi awal (1.0–2.0) berfokus pada pengintaian dan persistensi, sangat bergantung pada pembajakan Windows Component Object Model (COM) agar tetap tersembunyi di sistem yang terinfeksi.
– Varian tengah panggung (3.0–4.0) memperkenalkan arsitektur modular penuh yang memungkinkan operator memadupadankan komponen untuk spionase, pencurian kredensial, atau pergerakan lateral.
– Strain terbaru (5.0) membawa evolusi ini lebih jauh, menggunakan pengembangan multi-bahasa di C++, Go, Rust, dan Lua untuk menghindari deteksi statis dan mendukung operasi lintas platform.
Kini ia mampu berkomunikasi melalui saluran terenkripsi, menjalankan pengintaian ekstensif, dan menjaga kerahasiaan melalui eksekusi dalam memori dan payload berbasis registri.
Dengan kata lain, RomCom tidak lagi berperilaku seperti malware. Ini bertindak seperti kerangka kerja yang dapat disesuaikan untuk spionase, ransomware, atau serangan yang mengganggu tergantung pada siapa yang menggunakannya.
Kemampuan beradaptasi inilah yang membuatnya sangat berbahaya. Ketika sebuah ancaman mencapai modularitas, ancaman tersebut dapat digunakan kembali tanpa henti, mengubah alat spionase masa lalu menjadi pemuat ransomware di masa depan.
Dimana kejahatan bertemu dengan kenegaraan
Evolusi RomCom juga menggarisbawahi semakin besarnya konvergensi antara ekosistem kriminal dan ekosistem negara-bangsa. Bukti menghubungkan operatornya, yang dilacak oleh berbagai tim peneliti dengan nama seperti Storm-0978, UAT-5647, dan Void Rabisu, dengan keluarga ransomware seperti Kuba, Industrial Spy, dan Underground.
Kode tumpang tindih, infrastruktur penggunaan kembali, dan pengurutan serangan menunjukkan operasi hibrid di mana teknologi inti yang sama mendukung pencurian data dan spionase dunia maya.
Tujuan ganda ini sangat penting. Kampanye yang mencuri data sensitif dari sebuah kementerian mungkin bertujuan untuk intelijen, sementara kampanye lain yang menggunakan perangkat yang sama untuk mengenkripsi sistem perusahaan hanya bertujuan untuk mendapatkan keuntungan. Infrastruktur yang mendasarinya tetap sama.
Malware “penggunaan ganda” semacam ini menantang pemodelan ancaman tradisional. Sudah tidak tepat lagi jika menyebut sebuah keluarga sebagai keluarga kriminal atau disponsori negara, karena kini banyak keluarga berada di zona abu-abu di antara keduanya. Bagi para pembela HAM, hal ini berarti bersiap menghadapi ancaman yang akan berperilaku seperti mata-mata di suatu hari dan pemeras di hari berikutnya.
Kecerdasan dibangun berdasarkan kolaborasi
Kemampuan untuk melacak evolusi RomCom tidak datang dari satu perusahaan atau pemerintah saja. Hal ini berasal dari upaya kolektif komunitas intelijen ancaman global. Selama beberapa tahun, peneliti independen, lembaga publik, dan laboratorium swasta berbagi sampel kode, indikator perilaku, dan data insiden yang, jika terhubung, akan mengungkapkan gambaran operasional lengkap.
Transparansi lintas industri ini mengubah pengamatan yang terfragmentasi menjadi intelijen yang dapat ditindaklanjuti. Tanpa kumpulan data bersama tersebut, RomCom mungkin masih tampak sebagai segelintir kampanye yang tidak terkait, dan bukan sebagai operasi multi-tahun yang terkoordinasi yang mencakup spionase dan ransomware.
Ini adalah bukti dari apa yang terbuka kolaborasi dapat mencapainya. Komunitas keamanan siber sering kali bekerja dalam silo kompetitif, namun ketika data ancaman berpindah secara bebas antar vendor, lintas negara, dan melalui pelaporan publik, visibilitas kolektif akan berlipat ganda.
Visibilitas tersebut kini menjadi lebih penting dibandingkan sebelumnya. Ekosistem malware seperti RomCom berkembang pesat jika digunakan kembali: modul pemuat atau enkripsi yang sama dapat diperbarui dan diterapkan ulang oleh pelaku baru dalam hitungan hari. Hanya melalui intelijen bersama, para pembela HAM dapat menghubungkan titik-titik tersebut dengan cukup cepat untuk merespons.
Pelajaran bagi para pembela HAM
Perkembangan RomCom menawarkan beberapa pelajaran bagi tim keamanan dalam menghadapi lanskap ancaman yang semakin kabur:
1. Analisis perilaku mengalahkan tanda tangan statis: Indikator-indikator kompromi tradisional (IOCs) sudah tidak ada lagi. Alat seperti RomCom berkembang lebih cepat dibandingkan pembaruan tanda tangan. Mendeteksi perilaku jahat, seperti manipulasi registri COM yang tidak biasa atau lalu lintas HTTP POST yang disandikan, menawarkan pertahanan yang lebih tahan lama.
2. Validasi berkelanjutan adalah kuncinya: Organisasi harus secara teratur menguji kinerja kontrol mereka terhadap taktik, teknik, dan prosedur (TTP) yang sama yang digunakan malware tingkat lanjut. Mensimulasikan atau meniru perilaku tersebut adalah satu-satunya cara untuk memastikan bahwa pertahanan bekerja sesuai harapan.
3. Intelijen ancaman harus dioperasionalkan: Laporan, kumpulan data, dan telemetri bersama sama berharganya dengan tindakan yang diinformasikan. Mengintegrasikan intelijen ancaman secara langsung ke dalam aturan deteksi, pertanyaan perburuan, dan pedoman respons mengubah pengetahuan menjadi perlindungan.
4. Asumsikan tumpang tindih antara kejahatan dan spionase: Aktor yang sama mungkin berada di balik ransomware saat ini dan spionase dunia maya di masa depan. Strategi defensif harus berfokus pada ketahanan pada kedua motivasi tersebut, bukan hanya pada satu motivasi saja.
Pada akhirnya, RomCom mengingatkan para pembela HAM bahwa lanskap ancaman modern bersifat cair, adaptif, dan saling berhubungan. Penyerang berkolaborasi lebih dari sebelumnya, sehingga pembela HAM harus melakukan hal yang sama.
Bentuk baru konflik dunia maya
Perjalanan RomCom dari trojan sederhana menjadi senjata siber serbaguna mencerminkan realitas yang lebih luas: malware modern bukan lagi sebuah alat tunggal, melainkan sebuah ekosistem yang hidup. Desain modularnya memungkinkan negara dan kelompok kriminal menggunakan kembali, mengubah citra, dan menerapkan kembali kemampuan yang sama dalam kampanye spionase, ransomware, dan gangguan.
Bagi para pembela HAM, kemampuan beradaptasi tersebut menuntut hal yang sama sebagai balasannya. Upaya untuk mengungkap keseluruhan cakupan RomCom menunjukkan apa yang mungkin terjadi ketika para peneliti, pemerintah, dan perusahaan swasta berbagi intelijen dan memvalidasi pertahanan bersama-sama.
Di era di mana malware berperilaku seperti pisau Swiss Army, satu-satunya tindakan penanggulangan yang efektif adalah pertahanan terpadu berbasis intelijen yang mengubah pengetahuan bersama menjadi kekuatan bersama.
