Peretas ransomware menargetkan perangkat lunak pemantauan karyawan untuk mengakses komputer

Singkatnya

• Alat perangkat lunak pemantauan tempat kerja sedang menjadi target hacker ransomware, menurut perusahaan keamanan siber Huntress.
• Sebuah laporan baru menemukan bahwa aktor ancaman menggabungkan perangkat lunak pemantauan karyawan dengan alat manajemen jarak jauh untuk mendapatkan keberlangsungan di sistem perusahaan.
• Penggunaan luas ‘bossware’ telah memperluas potensi permukaan serangan bagi perusahaan.

Alat pemantauan tenaga kerja yang populer sedang menjadi target hacker dan digunakan sebagai pijakan untuk serangan ransomware, menurut laporan baru dari perusahaan keamanan siber Huntress. Pada akhir Januari dan awal Februari 2026, tim Tanggap Taktis Huntress menyelidiki dua pembobolan di mana penyerang menggabungkan Net Monitor for Employees Professional dengan SimpleHelp, sebuah alat akses jarak jauh yang digunakan oleh departemen TI.

TL;DR 📌 Penjahat siber mengubah perangkat lunak pemantauan karyawan menjadi RAT, dipasangkan dengan SimpleHelp, memburu crypto, dan mencoba menyebarkan Crazy ransomware.

Penulis yang beretika jahat di balik tulisan ini: @RussianPanda9xx, @sudo_Rem, @Purp1eW0lf, + @Antonlovesdnbhttps://t.co/3c6qbD7l3g

— Huntress (@HuntressLabs) 13 Februari 2026

Menurut laporan tersebut, hacker menggunakan perangkat lunak pemantauan karyawan untuk masuk ke sistem perusahaan dan menggunakan SimpleHelp agar tetap bisa berada di sana meskipun satu titik akses dimatikan. Aktivitas ini akhirnya mengarah pada upaya penyebaran Crazy ransomware. “Kasus-kasus ini menyoroti tren yang berkembang di mana aktor ancaman memanfaatkan perangkat lunak yang sah dan tersedia secara komersial untuk menyatu ke dalam lingkungan perusahaan,” tulis peneliti Huntress. “Net Monitor for Employees Professional, meskipun dipasarkan sebagai alat pemantauan tenaga kerja, menyediakan kemampuan yang sebanding dengan trojan akses jarak jauh tradisional: koneksi balik melalui port umum, penyamaran nama proses dan layanan, eksekusi shell bawaan, dan kemampuan untuk menyebarkan secara diam-diam melalui mekanisme instalasi Windows standar. Ketika dipasangkan dengan SimpleHelp sebagai saluran akses sekunder … hasilnya adalah pijakan alat ganda yang tahan banting dan sulit dibedakan dari perangkat lunak administratif yang sah.” Perusahaan menambahkan bahwa meskipun alat ini mungkin baru, penyebab utamanya tetap perimeter yang terbuka dan kebersihan identitas yang lemah, termasuk akun VPN yang dikompromikan. Meningkatnya “bossware” Penggunaan yang disebut “bossware” bervariasi secara global tetapi tersebar luas. Sekitar sepertiga perusahaan di Inggris menggunakan perangkat lunak pemantauan karyawan, menurut laporan tahun lalu, sementara di AS diperkirakan sekitar 60%.

Perangkat lunak ini biasanya digunakan untuk melacak produktivitas, mencatat aktivitas, dan menangkap tangkapan layar layar pekerja. Tetapi penggunaannya kontroversial, begitu pula klaim tentang apakah perangkat ini benar-benar menangkap produktivitas karyawan atau justru menilai berdasarkan kriteria arbitrer seperti klik mouse atau email yang dikirim. Namun, popularitasnya menjadikan alat ini sebagai vektor yang menarik bagi penyerang. Net Monitor for Employees Professional, yang dikembangkan oleh NetworkLookout, dipasarkan untuk pelacakan produktivitas karyawan tetapi menawarkan kemampuan di luar pemantauan layar pasif, termasuk koneksi shell balik, kontrol desktop jarak jauh, manajemen file, dan kemampuan untuk menyesuaikan nama layanan dan proses saat instalasi. Fitur-fitur tersebut, yang dirancang untuk penggunaan administratif yang sah, dapat memungkinkan aktor ancaman menyatu ke dalam lingkungan perusahaan tanpa menyebarkan malware tradisional. Dalam kasus pertama yang dirinci oleh Huntress, penyelidik diberi tahu oleh manipulasi akun yang mencurigakan pada sebuah host, termasuk upaya menonaktifkan akun Guest sistem dan mengaktifkan akun Administrator bawaan. Beberapa perintah “net” dieksekusi untuk mengenumerasi pengguna, mengatur ulang kata sandi, dan membuat akun tambahan. Analis melacak aktivitas tersebut ke sebuah binary yang terkait dengan Net Monitor for Employees, yang telah memunculkan aplikasi pseudo-terminal yang memungkinkan eksekusi perintah. Alat ini menarik binary SimpleHelp dari alamat IP eksternal, setelah itu penyerang berusaha mengganggu Windows Defender dan menyebarkan beberapa versi Crazy ransomware, bagian dari keluarga VoidCrypt. Dalam insiden kedua, yang diamati awal Februari, penyerang masuk melalui akun VPN SSL vendor yang dikompromikan dan terhubung melalui Remote Desktop Protocol ke pengendali domain. Dari sana, mereka menginstal agen Net Monitor langsung dari situs web vendor. Penyerang menyesuaikan nama layanan dan proses agar meniru komponen Windows yang sah, menyamarkan layanan sebagai terkait OneDrive dan mengganti nama proses yang berjalan. Mereka kemudian menginstal SimpleHelp sebagai saluran keberlanjutan tambahan dan mengonfigurasi pemicu pemantauan berbasis kata kunci yang menargetkan dompet cryptocurrency, bursa, dan platform pembayaran, serta alat akses jarak jauh lainnya. Huntress menyatakan aktivitas ini menunjukkan tanda-tanda motivasi keuangan dan penghindaran pertahanan secara sengaja.

Network LookOut, perusahaan di balik Net Monitor for Employee, memberi tahu Decrypt bahwa agen hanya dapat diinstal oleh pengguna yang sudah memiliki hak administratif di komputer tempat agen akan dipasang. “Tanpa hak administratif, instalasi tidak memungkinkan,” katanya melalui email. “Jadi, jika Anda tidak ingin perangkat lunak kami terpasang di komputer, pastikan akses administratif tidak diberikan kepada pengguna yang tidak berwenang, karena akses administratif memungkinkan instalasi perangkat lunak apa pun.” Ini bukan pertama kalinya hacker mencoba menyebarkan ransomware atau mencuri informasi melalui bossware. Pada April 2025, para peneliti mengungkapkan bahwa WorkComposer, sebuah aplikasi pengawasan tempat kerja yang digunakan oleh lebih dari 200.000 orang, meninggalkan lebih dari 21 juta tangkapan layar waktu nyata yang terekspos di sebuah bucket penyimpanan cloud yang tidak aman, berpotensi membocorkan data bisnis sensitif, kredensial, dan komunikasi internal.