Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkap kampanye spionase siber PassiveNeuron yang tengah berlangsung. Kampanye ini ditujukan pada sistem Windows Server di berbagai lembaga pemerintahan, keuangan, dan industri di Asia, Afrika, dan Amerika Latin. Aktivitas PassiveNeuron telah diamati sejak Desember 2024 dan kembali aktif pada Agustus 2025 setelah enam bulan tidak aktif. Mereka menggunakan tiga alat utama, termasuk Neursite, NeuralExecutor, dan Cobalt Strike, yang digunakan untuk mendapatkan dan mempertahankan akses ke jaringan yang ditargetkan. Neursite adalah backdoor modular yang dapat mengumpulkan informasi sistem dan merutekan lalu lintas jaringan. NeuralExecutor dirancang untuk mengirimkan muatan tambahan dan mendukung berbagai metode komunikasi. Cobalt Strike adalah kerangka kerja pengujian penetrasi yang sering digunakan oleh pelaku ancaman.
Pasukan PassiveNeuron fokus pada server yang disusupi, yang sering menjadi tulang punggung jaringan perusahaan. Penting untuk memantau aplikasi server dan meminimalkan permukaan serangan terkait server yang terkena dampak. Dalam sampel yang diamati oleh peneliti Kaspersky, nama fungsi dalam kode diganti dengan karakter Cyrillic, mungkin sebagai upaya untuk menyesatkan analis. Kaspersky menilai dengan keyakinan rendah bahwa kampanye tersebut kemungkinan terkait dengan aktor ancaman berbahasa Mandarin. Aktivitas PassiveNeuron pertama kali terdeteksi pada 2024 dan telah menunjukkan tingkat kecanggihan yang tinggi dalam operasinya.
