• Jakarta - Indonesia
  • November 26, 2025

Ringkasan Bahasa Indonesia — HeartCrypt PaaS dan Kampanye Impersonasi Besar-besaran

HeartCrypt adalah layanan packer-as-a-service (PaaS) yang digunakan oleh banyak pelaku ancaman (bukan hanya satu grup) untuk menyamarkan malware di dalam aplikasi yang tampak sah. Packer ini memodifikasi file executable legal, menyuntikkan loader berbahaya, dan menyisipkan payload terenkripsi.

Temuan Utama

1. Pola serangan yang konsisten

Setiap sampel serangan yang dianalisis memiliki ciri yang sama:

  • Malware berpura-pura menjadi aplikasi sah (CCleaner, PDF reader, NW.js, dan banyak lainnya)

  • Loader berupa PIC (position-independent code) disuntikkan ke bagian .text

  • Payload berbahaya ditanam sebagai resource tambahan (disamarkan sebagai BMP)

  • Payload dienkripsi XOR dengan kunci yang mudah terlihat

  • Payload biasanya RAT atau infostealer:
    Lumma Stealer, Rhadamanthys, AsyncRAT, AVKiller, dll.

  • Distribusi melalui email phishing + file ZIP berpassword Google Drive / Dropbox

Sophos menganalisis ribuan sampel dan hampir 1000 server C2.

2. Berbagai rantai infeksi di banyak negara

HeartCrypt dipakai oleh banyak aktor, sehingga metode penyebaran bervariasi, tergantung negara:

Contoh kasus:

a. Italia — DLL sideloading + phishing

  • Email berpura-pura sebagai pemberitahuan pelanggaran hak cipta

  • File ZIP berisi:

    • executable palsu

    • DLL msimg32.dll berisi loader HeartCrypt

    • PDF umpan (decoy)

  • Payload: Lumma Stealer

b. Kolombia — Email dengan ZIP berpassword

  • Email tampak berasal dari Kejaksaan Kolombia

  • Tautan tersembunyi berupa titik “.”

  • ZIP berpassword 7771 disimpan di Google Drive

  • Payload: AsyncRAT

c. Italia lagi — LNK + PowerShell

  • Shortcut LNK dengan ikon PDF tapi menjalankan PowerShell

  • Mengunduh batch file & PDF umpan dari Dropbox

  • Payload: Rhadamanthys Stealer

3. Cara kerja HeartCrypt di dalam file

Modifikasi file executable

  • Menyisipkan kode PIC ke .text

  • Menambah resource palsu (bitmap) berisi shellcode

  • Menggunakan ratusan instruksi junk (JMP/CALL) untuk obfuscation

Anti-analisis / anti-emulator

  • Memanggil DLL palsu yang tidak mungkin ada (k7rn7l32.dll)

  • Mengakses fungsi kernel32 yang hanya ada di emulator
    Jika tes ini “berhasil”, loader berhenti — artinya ia mendeteksi sandboxes.

Eksekusi payload

Loader memakai API seperti:

  • CreateProcessW

  • VirtualAlloc

  • NtCreateThreadEx

  • CreateRemoteThread

Payload terenkripsi XOR, dengan kunci berupa string ASCII berulang.

Contoh kunci yang menunjukkan emosi/frustrasi pelaku:

  • MENOLOVECROWDSTRIKE

  • ANDREYISNOTHAPPEITE

  • f*ckSsentinc

4. Persistensi

HeartCrypt biasanya:

  • Menyalin dirinya ke folder pengguna (Pictures, Videos, Documents)

  • Memperbesar ukuran file dengan menambah 900MB padding

  • Mendaftarkan autorun melalui registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

5. Payload yang sering ditemukan

Payload HeartCrypt biasanya:

  • Lumma Stealer

  • Rhadamanthys

  • AsyncRAT

  • Redline

  • Vidar

  • AgentTesla

  • Dan yang makin mengkhawatirkan: AVKiller

DeveloperTest

Ada satu payload bernama DeveloperTest — hanya menampilkan message box.
Diduga dibuat developer HeartCrypt untuk menguji deteksi antivirus.
Ini kemungkinan “awal mula” HeartCrypt.

6. Keterkaitan dengan ransomware

HeartCrypt juga terlihat dalam insiden ransomware besar:

a. Ransomhub

  • Loader HeartCrypt menyebarkan AVKiller, lalu ransomware aktif

  • Menargetkan produk ESET, Kaspersky, Sophos, Symantec

  • Menggunakan driver bersertifikat palsu

b. MedusaLocker

  • HeartCrypt muncul sebelum eksekusi Medusa

  • Diduga terkait eksploit zero-day ConnectWise & BeyondTrust

7. Negara-negara target

Analisis nama file dan laporan lapangan menunjukkan target global:

  • Kolombia (terbanyak)

  • Italia

  • Brasil

  • Meksiko

  • Peru

  • Prancis

  • Yunani

  • Kazakhstan

  • Korea Selatan

  • Rusia

  • Taiwan

  • Ukraina

  • Belanda

  • Thailand

  • Argentina
    …dan banyak lainnya.

Nama file disesuaikan bahasa lokal untuk meningkatkan efektivitas phishing.

8. Kesimpulan

Meskipun bukan PaaS baru, HeartCrypt masih sangat aktif dan semakin tersebar.
Alasan keberhasilannya:

  • Mudah dipakai penjahat cyber

  • Bisa mengemas malware apa saja

  • Menyamar menjadi ratusan aplikasi sah

  • Teknik anti-analisis efektif

  • Distribusi global melalui phishing yang tampak meyakinkan

Sophos mendeteksi HeartCrypt sebagai Mal/HCrypt.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan QFirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi QFirewall.ilogoindonesia.id untuk informasi lebih lanjut!