Initializing
Siber.Web.ID
MENU_SYSTEM
Security Insights

Nexcorium: Varian Mirai Terbaru yang Mengancam Perangkat IoT di Seluruh Dunia

I
Online

Para peneliti keamanan siber dari Fortinet FortiGuard Labs telah mengidentifikasi varian malware Mirai bernama Nexcorium yang sedang aktif menargetkan perangkat DVR merek TBK untuk membangun botnet DDoS berskala besar.

Infografik Nexcorium: Varian Mirai Terbaru yang Mengancam Perangkat IoT

Nexcorium mewakili evolusi terbaru dalam lanskap ancaman botnet IoT, menggabungkan teknik eksploitasi kerentanan yang canggih dengan kemampuan multi-arsitektur yang memungkinkannya menginfeksi berbagai jenis perangkat. Malware ini secara aktif menargetkan perangkat TBK DVR-4104 dan DVR-4216, memanfaatkan kerentanan injeksi perintah (command injection) CVE-2024-3721 untuk mendapatkan akses tidak sah ke dalam sistem.

Tim peneliti FortiGuard Labs, dipimpin oleh Vincent Li, mencatat bahwa Nexcorium menunjukkan sifat khas botnet IoT modern yang menggabungkan eksploitasi kerentanan, dukungan untuk banyak arsitektur, dan berbagai metode persistensi (persistence) untuk mempertahankan akses jangka panjang ke sistem yang terinfeksi.

Arsitektur dan Kapabilitas Serangan

Nexcorium dirancang sebagai malware multi-arsitektur yang mampu berjalan pada berbagai platform prosesor, termasuk ARM, MIPS, dan x86-64. Kemampuan adaptasi biner ini memungkinkan malware untuk menginfeksi berbagai jenis perangkat IoT, mulai dari kamera keamanan (CCTV) sederhana hingga sistem embedded yang lebih canggih.

Salah satu karakteristik yang paling mencolok dari Nexcorium adalah pesan string yang ditampilkan setelah berhasil mengompromikan sistem: “nexuscorp has taken control” dan “Nexus Team”. Pesan ini tidak hanya berfungsi sebagai tanda tangan digital (digital signature) aktor ancaman, tetapi juga menunjukkan tingkat kepercayaan diri yang tinggi dari kelompok “threat actor” di balik operasi ini.

Vektor Infeksi dan Metode Penyebaran

Nexcorium menggunakan kombinasi eksploitasi celah keamanan (exploit kit) dan serangan kamus kata sandi untuk menyebar secara agresif ke perangkat baru:

  • Eksploitasi Kerentanan (Exploit Kit): Malware ini secara aktif mengeksploitasi CVE-2024-3721, kerentanan injeksi perintah pada perangkat TBK DVR, untuk mendapatkan akses awal (initial access). Selain itu, Nexcorium juga membawa modul eksploit CVE-2017-17215 yang ditujukan khusus untuk mengompromikan router Huawei HG532.
  • Brute-Force Attack: Perangkat peretas ini dilengkapi dengan daftar kamus kata sandi yang telah tertanam (hardcoded), berisi kombinasi kredensial lemah seperti “admin”, “12345”, “password”, dan variasi generik lainnya. Daftar ini digunakan untuk melancarkan serangan brute-force otomatis terhadap perangkat yang belum melakukan patching.
  • Scanning Jaringan Lokal (Lateral Movement): Setelah berhasil menginfeksi satu perangkat inang, Nexcorium secara aktif memindai jaringan lokal (LAN) untuk mencari perangkat IoT lain yang rentan, menciptakan efek bola salju (snowball effect) yang memungkinkan botnet tumbuh secara eksponensial dalam waktu singkat.

“Tujuan utama dari infeksi Nexcorium adalah membentuk botnet masif yang dapat dikendalikan dari jarak jauh untuk meluncurkan serangan Distributed Denial of Service (DDoS) skala katastrofik. Malware ini mendukung lebih dari sepuluh metode serangan yang berbeda pada arsitekturnya.”

: Analisis Malware FortiGuard Labs, Fortinet (2026)

Metode Serangan DDoS Lintas Lapisan

Operator botnet memiliki fleksibilitas tinggi dalam memilih empat strategi serangan DDoS berikut tergantung pada arsitektur target:

  • UDP Flood: Membanjiri target dengan paket UDP berukuran besar secara simultan untuk menghabiskan bandwidth dan melumpuhkan sumber daya jaringan perimeter.
  • TCP SYN Flood: Mengeksploitasi mekanisme three-way handshake TCP dengan mengirimkan permintaan SYN tanpa menyelesaikan koneksi, menghabiskan alokasi tabel koneksi server.
  • SMTP Flood: Menargetkan server surat elektronik (mail server) dengan permintaan SMTP berlebihan untuk mengganggu alur komunikasi email instansi.
  • HTTP/HTTPS Flood: Serangan pada lapisan aplikasi (application layer) yang membanjiri server web dengan permintaan HTTP yang tampak sah (legitimate), menjadikannya lebih sulit dideteksi dan diblokir oleh WAF standar.

Seluruh node botnet yang terinfeksi akan berkomunikasi secara terenkripsi dengan server Command and Control (C2) jarak jauh. Server C2 bertindak sebagai pusat komando taktis yang mendistribusikan parameter operasional seperti alamat IP target, durasi intervensi, serta jenis metode serangan yang akan digunakan.

Mitigation & Defense Strategies

Sebagai ancaman persisten yang terus bermutasi, mitigasi terhadap botnet IoT memerlukan penegakan lima pilar kontrol keamanan siber berikut:

1. Patch Management Proaktif di Lini Depan

Langkah paling efektif untuk memutus rantai infeksi Nexcorium adalah memastikan bahwa semua perangkat IoT, khususnya perangkat TBK DVR dan router Huawei HG532, diperbarui dengan firmware keamanan terbaru dari vendor. Organisasi harus menerapkan kebijakan patch management yang ketat, dengan jadwal pembaruan reguler dan mekanisme otomatisasi untuk melacak serta memastikan tidak ada perangkat yang tertinggal dalam status rentan.

2. Eliminasi Total Kredensial Default (Credential Hygiene)

Mengingat Nexcorium mengandalkan daftar kamus hardcoded untuk melakukan serangan brute-force, sangat penting untuk mengubah semua kredensial default pada perangkat IoT segera setelah proses instalasi selesai. Kredensial baru wajib memenuhi standar kompleksitas tinggi, unik, dan acak. Kebijakan keamanan internal harus melarang keras penggunaan kata sandi yang sama di beberapa perangkat yang berbeda.

3. Penegakan Segmentasi Jaringan (Network Segmentation)

Segmentasi jaringan adalah strategi pertahanan taktis untuk membatasi ruang gerak botnet IoT. Dengan memisahkan perangkat IoT ke dalam Virtual LAN (VLAN) yang terisolasi dari jaringan produksi utama (core network), kemampuan malware untuk melakukan pergerakan lateral dapat dihambat. Perangkat Firewall dan Access Control Lists (ACLs) wajib dikonfigurasikan secara ketat untuk membatasi komunikasi, hanya mengizinkan lalu lintas data yang esensial bagi operasional perangkat.

📌 Integrasi Aturan IDPS Tingkat Lanjut:

Penerapan Sistem Deteksi dan Pencegahan Intruksi (IDPS) sangat krusial untuk memantau lalu lintas jaringan secara real-time. Konfigurasikan aturan (rules) dan tanda tangan (signatures) IDPS secara spesifik untuk mendeteksi artefak komunikasi C2 Nexcorium, aktivitas pemindaian port massal, dan anomali payload DDoS. Pembaruan pustaka signature wajib diotomatisasi secara berkala guna mengantisipasi munculnya varian mutasi biner baru.

4. Penguatan Kapasitas Human Firewall Melalui Pelatihan Otentik

Meningkatnya literasi keamanan digital di lingkungan staf dan pengguna merupakan garis pertahanan pertama yang tidak boleh diabaikan. Berikan pelatihan berkala untuk mengedukasi personel mengenai risiko paparan bayangan perangkat (shadow IoT), cara mengidentifikasi tanda-tanda kompromi perangkat fisik (seperti lonjakan suhu perangkat atau kelambatan respons), serta prosedur pelaporan insiden yang cepat kepada tim SOC internal.

Catatan Strategis Bagi Ketahanan Siber Nasional Indonesia

Bagi cybersecurity expert, teknis practitioner, dan pengelola infrastruktur kritis di Indonesia, sirkulasi varian Mirai Nexcorium ini harus disikapi sebagai ancaman asimetris yang nyata. Indonesia, dengan pertumbuhan implementasi perangkat IoT, kamera pemantau kota, dan infrastruktur pintar yang sangat masif namun kerap mengabaikan audit tata kelola keamanan perangkat, merupakan target operasi botnet global yang sangat empuk.

⚠️ Ancaman Pembajakan Sumber Daya Komputasi Nasional:

Bahaya terbesar dari kegagalan tata kelola keamanan IoT bukan sekadar lumpuhnya fungsi perangkat DVR tersebut, melainkan pembajakan (hijacking) terhadap sumber daya komputasi dan bandwidth nasional. Ribuan perangkat lokal yang terkompromi dapat digerakkan secara simultan oleh aktor asing sebagai mesin penyerang untuk melumpuhkan objek vital nasional maupun infrastruktur negara lain. Hal ini berpotensi menyeret kedaulatan digital Indonesia ke dalam konflik siber internasional tanpa disadari.

Menghadapi era intelligent computing di pertengahan tahun 2026 ini, jaminan pertahanan siber tidak lagi dapat dicapai secara parsial. Praktisi pertahanan nasional wajib menegakkan arsitektur jaringan Zero Trust, memperketat kebijakan Vendor Risk Management terhadap perangkat keras impor, serta memperlakukan setiap node perangkat IoT sebagai perimeter pertahanan kritis yang wajib dilindungi secara berkelanjutan guna menjaga kedaulatan informasi bangsa.

Advisori Keamanan: Artikel intelijen ancaman siber ini disusun untuk memberikan informasi taktis terkini. Apabila instansi Anda mengintegrasikan perangkat TBK DVR atau router Huawei yang disebutkan, segera lakukan isolasi jaringan, eksekusi pembaruan firmware resmi, dan lakukan rotasi kata sandi administratif seketika demi memitigasi risiko infiltrasi botnet Nexcorium.

Baca Juga

Bagikan Artikel
Security Tools