Ditemukan sejak Juli 2025, botnet ini menyebar melalui file installer MSI palsu yang diklaim sebagai setup game populer seperti Valorant, Counter-Strike 2 (CS2), dan Rainbow Six Extraction (R6x).
Dalam laporan resmi yang diterbitkan Kaspersky, disebut Tsundere telah terdeteksi di sejumlah negara, termasuk Meksiko, Chili, Rusia, dan Kazakhstan, dan kini dikategorikan sebagai ancaman aktif terhadap pengguna Windows.
Tsundere berbeda dari kebanyakan malware lainnya karena penggunaan teknologi Web3 untuk memperkuat sistem pengendaliannya.
Alih-alih menggunakan server statis, botnet ini menyimpan alamat command-and-control (C2) di dalam kontrak pintar (smart contract) berbasis blockchain Ethereum.
Metode ini membuat pelaku dapat mengganti alamat C2 hanya dengan satu transaksi blockchain tanpa meninggalkan jejak tradisional di server konvensional. Strategi ini menjadikan Tsundere jauh lebih tangguh dan sulit dilacak.
“Tsundere menunjukkan seberapa cepat para pelaku kejahatan siber beradaptasi. Ini adalah upaya baru dari aktor ancaman yang kemungkinan sudah kami identifikasi sebelumnya untuk memperbarui alat mereka,” Lisandro Ubiedo, Senior Security Expert di Kaspersky GReAT.
“Dengan beralih ke mekanisme Web3, infrastrukturnya menjadi jauh lebih fleksibel dan tahan terhadap gangguan. Kami sudah melihat penyebaran aktif lewat installer game palsu dan aktivitas berbahaya yang serupa, jadi pengembangan lebih lanjut dari botnet ini sangat mungkin terjadi,” ujar Lisandro Ubiedo.
Menyamar Lewat Installer Game
Menurut analisis Kaspersky, Tsundere menyebar melalui dua format utama: installer .MSI dan skrip PowerShell. Begitu diaktifkan, malware akan memasang implant yang memungkinkan bot menjalankan kode JavaScript berbahaya secara dinamis melalui kanal terenkripsi WebSocket dari server C2.Kode ini dapat digunakan untuk mengeksekusi berbagai perintah jarak jauh, termasuk mencuri data, mengunduh malware tambahan, hingga mengendalikan perangkat korban sepenuhnya.
Penelusuran juga menunjukkan adanya hubungan antara Tsundere dan malware 123 Stealer, yang dikembangkan oleh aktor bernama “koneko” dan dijual di forum bawah tanah dengan harga sekitar USD 120 per bulan.
Kaspersky menemukan bahwa sebagian besar kode Tsundere ditulis menggunakan bahasa Rusia, yang memperkuat dugaan bahwa aktor di baliknya adalah penutur Rusia atau kelompok yang memiliki hubungan dengan jaringan kriminal siber di kawasan tersebut.
Indikasi ini juga sejalan dengan pola serangan yang pernah diamati Kaspersky pada kampanye siber sebelumnya yang melibatkan aktor yang sama.
Peringatan dan Pencegahan
Karena distribusinya menyasar gamer yang sering mengunduh game bajakan, Tsundere menjadi ancaman serius di negara-negara dengan tingkat penggunaan platform tidak resmi yang tinggi termasuk Indonesia.Bagi gamer yang gemar mencari installer alternatif di luar toko resmi, risiko tertular botnet ini sangat besar. Dalam siaran persnya, Kaspersky memberikan beberapa rekomendasi untuk melindungi diri dari ancaman seperti Tsundere:
-Gunakan software dan platform resmi dari penerbit yang telah diverifikasi.
-Pasang solusi keamanan tepercaya dan ikuti rekomendasi perlindungannya.
-Hindari mengunduh file executable dari sumber tidak dikenal.
-Waspadai email phishing yang mengarahkan ke situs unduhan tidak resmi.
-Gunakan praktik keamanan dasar seperti pembaruan rutin, kata sandi kuat, dan autentikasi dua langkah (2FA).
“Kesadaran pengguna adalah lapisan perlindungan terpenting. Dengan maraknya integrasi Web3 dan blockchain dalam infrastruktur kejahatan siber, gamer harus semakin waspada terhadap installer game yang terlihat sah tapi berisi kode berbahaya,” tandas Ubiedo.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
