Sebanyak 12 perusahaan Rusia mengalami serangan cyber melalui backdoor Loki. Menurut para ahli Kaspersky, serangan tersebut terjadi di berbagai sektor industri, mulai dari teknologi hingga kesehatan.
Malware yang diidentifikasi oleh Kaspersky sebagai Backdoor.Win64.MLoki merupakan bagian dari framework pasca-eksploitasi sumber terbuka Mythic.
Loki menjangkau komputer korban melalui phishing dengan lampiran berbahaya yang dilepaskan oleh pengguna tanpa curiga. Setelah berhasil terpasang, Loki memungkinkan penyerang untuk mengambil alih sistem, seperti mengelola token akses Windows, menyuntikkan kode ke dalam proses yang berjalan, dan mentransfer file antara komputer yang terinfeksi dan server pemerintah dan kontrol.
Artem Ushkov, seorang peneliti di Kaspersky, menyatakan bahwa popularitas framework pasca-eksploitasi sumber terbuka semakin meningkat. Meskipun awalnya digunakan untuk peningkatan keamanan infrastruktur, penyerang kini banyak yang menggunakan dan memodifikasi framework tersebut untuk menyebarkan malware.
Kaspersky juga mengungkap bahwa agen Loki tidak mendukung penyaluran lalu lintas, sehingga penyerang menggunakan utilitas publik seperti ngrok dan gTunnel untuk mengakses segmen jaringan pribadi.
