— Microsoft Threat Intelligence mengungkap keberadaan malware baru bernama GigaWiper yang menggabungkan kemampuan penghancuran data dan backdoor jarak jauh. Malware ini dirakit dari beberapa keluarga malware berbeda sehingga mampu menghapus data hingga partisi logika sekaligus memberikan akses pengendalian penuh kepada penyerang.

GigaWiper pertama kali terdeteksi pada Oktober 2025. Ditulis dengan bahasa pemrograman Go, perangkat berbahaya ini berfungsi ganda: sebagai alat mata-mata yang menerima perintah dari server komando dan kontrol (C2) serta sebagai wiper yang dapat memusnahkan file dan partisi di drive penyimpanan lokal korban.

Modul Penghancur Data

Menurut analisis, GigaWiper membawa tiga kemampuan utama untuk menghancurkan data:

  • Wiper Standalone: Modul ini menimpa data pada hard disk dalam mode raw, beroperasi pada tingkat fisik disk bukan sekadar menghapus metadata file atau partisi.
  • Ransomware Palsu: Modul turunan dari keluarga Crucio yang berpura-pura mengenkripsi file seperti ransomware biasa, namun tidak pernah menyimpan kunci dekripsi. Artinya, data yang terkunci tidak dapat dipulihkan.
  • FlockWiper Reinkarnasi: Modul yang mengadopsi logika FlockWiper untuk menghapus drive sistem operasi Windows secara total melalui proses pembersihan berlapis.

Fungsi Backdoor dan Pengintaian

Selain kapasitas destruktif, GigaWiper memiliki kemampuan backdoor yang luas. Ketika terhubung dengan server C2, malware ini dapat mengeksekusi 20 perintah jarak jauh berbeda.

Fitur pengintaian meliputi pengambilan screenshot, perekaman video, dan live streaming layar korban ke penyerang. Malware ini juga mendukung pengendalian keyboard dan mouse dari jarak jauh.

Untuk menghindari deteksi, GigaWiper menggunakan streaming berbasis TCP dan membuat pengecualian khusus pada Windows Firewall. Selain itu, malware ini dapat mengumpulkan informasi mendalam tentang mesin korban, memanipulasi proses perangkat lunak, menghapus log aktivitas, serta mengacak sistem registry.

Analogi “Frankenstein” dan Komponen Tambahan

Microsoft menggambarkan GigaWiper seperti monster Frankenstein yang dirakit dari setidaknya tiga keluarga malware berbeda. Analisis kode menunjukkan keterkaitan langsung dengan Crucio dan FlockWiper melalui alur eksekusi, penamaan fungsi, dan kecocokan string data.

Tim analis juga menemukan komponen ketiga yang disebut CutBrooch, yang kemungkinan menjadi otak bagi modul penghapus mandiri. Pengendali server GigaWiper memiliki kontrol penuh atas sistem yang terinfeksi dan dapat memicu perintah penghancuran kapan saja.

Rekomendasi Mitigasi

Sebagai langkah mitigasi, Microsoft mendorong pengguna dan organisasi untuk mengaktifkan fitur Tamper Protection di Windows Defender. Selain itu, pengguna disarankan menyalakan proteksi berbasis cloud agar ancaman yang berevolusi cepat dapat ditangkal sebelum basis data virus lokal diperbarui.