Microsoft mengonfirmasi bahwa kampanye jahat ini telah aktif setidaknya sejak Maret 2026. Alih-alih mengejar jumlah korban sebanyak mungkin, pelaku justru fokus pada sistem dengan GPU diskrit yang cukup kuat untuk menambang kripto secara menguntungkan. Modus operandinya menggunakan teknik SEO poisoning—meracuni hasil pencarian—dan dalam beberapa kasus, tautan berbahaya muncul langsung dari rekomendasi asisten AI berbasis large language model (LLM).
Utilitas Populer Jadi Umpan, DLL Sideloading Jadi Celah
Korban yang mencari software seperti CrystalDiskInfo, FurMark, atau Display Driver Uninstaller (DDU) di mesin pencari akan diarahkan ke portal unduhan palsu. File ZIP yang diunduh berisi penginstal asli yang dibundel dengan file DLL berbahaya bernama autorun.dll. Begitu pengguna menjalankan aplikasi sah tersebut, Windows secara otomatis memuat DLL jahat dari direktori yang sama melalui teknik DLL sideloading—eksploitasi lama yang tidak memerlukan celah keamanan perangkat lunak dan hampir tidak meninggalkan jejak yang kasat mata.
ScreenConnect Disalahgunakan, Proses Mining Sembunyi di Balik Proses Sistem
Setelah DLL aktif, malware diam-diam memasang ScreenConnect (ConnectWise Control), sebuah platform manajemen jarak jauh (RMM) yang sah. Microsoft menekankan bahwa ScreenConnect sendiri tidak berbahaya, melainkan disalahgunakan untuk menghindari kecurigaan keamanan. Dari sini, penyerang mengirimkan SimpleRunPE.exe yang menyuntikkan kode penambangan ke dalam proses .NET bertanda tangan Microsoft seperti MSBuild.exe dan InstallUtil.exe melalui teknik process hollowing. Agar tidak mudah dibersihkan, malware membuat enam mekanisme persistensi, menambahkan pengecualian Microsoft Defender berulang kali, dan memeriksa keberadaan mesin virtual atau alat analisis keamanan.
Penambang Berhenti Saat GPU Sedang Dipakai Gaming atau Streaming
Salah satu temuan paling menarik adalah kemampuan malware untuk memonitor penggunaan GPU, waktu idle sistem, dan aktivitas gaming. Saat mendeteksi beban grafis berat—misalnya saat bermain game atau merender video—penambang akan berhenti beroperasi. Tujuannya jelas: menghindari gejala mencolok seperti penurunan frame rate, kipas GPU yang menderu, atau suhu berlebih yang bisa membuat pengguna curiga. Ini membuat infeksi bisa berlangsung lama tanpa disadari, terutama pada PC yang sering digunakan untuk aktivitas non-gaming.
Rekomendasi Chatbot AI: Vektor Serangan Baru yang Mengkhawatirkan
Microsoft mencatat bahwa beberapa domain jahat dalam kampanye ini mungkin muncul melalui interaksi dengan chatbot AI. Pengguna yang meminta rekomendasi unduhan perangkat lunak dari asisten LLM, dalam beberapa kasus, diberikan tautan ke situs yang dikendalikan penyerang. Meski Microsoft menegaskan bahwa temuan ini “tidak menunjukkan masalah sistemik pada layanan AI tertentu,” pola ini konsisten dengan teknik AI-assisted search poisoning yang mulai marak. Bagi pengguna Indonesia yang mulai terbiasa bertanya ke chatbot untuk rekomendasi software, ini menjadi pengingat bahwa hasil dari asisten AI tidak boleh langsung dipercaya tanpa verifikasi sumber resmi.
Lindungi Diri: Unduh Hanya dari Situs Resmi, Waspada Rekomendasi Otomatis
Kampanye ini menegaskan kembali praktik keamanan dasar yang sering diabaikan. Selalu unduh utilitas seperti HWMonitor atau CrystalDiskInfo langsung dari situs resmi pengembang. Waspadai hasil pencarian yang menawarkan tautan sponsor atau domain mencurigakan, termasuk subdomain dari gleeze.com yang teridentifikasi dalam infrastruktur serangan. Dan untuk pengguna yang mengandalkan AI chatbot, perlakukan rekomendasi unduhan seperti hasil pencarian biasa—periksa URL dan reputasi situs sebelum mengklik tautan apa pun.
