Gayfemboy 📖 Wikipedia

Gayfemboy
Nama umum	Gayfemboy
Keluarga	Mirai
Tipe	Botnet

Gayfemboy adalah sebuah varian malwer yang menargetkan perangkat elektronik milik perusahaan dengan mengeksploitasi kerentanan keamanan (Common Vulnerabilities and Exposures atau CVE). Malwer ini dilaporkan menginfeksi perangkat jaringan yang diproduksi oleh sejumlah vendor, termasuk DrayTek, TP-Link, Raisecom, dan Cisco.

Infeksi Gayfemboy telah terdeteksi pada organisasi di berbagai negara, antara lain Brasil, Prancis, Jerman, Israel, Meksiko, Amerika Serikat, Swiss, dan Vietnam. Sektor yang terdampak mencakup industri konstruksi, manufaktur, teknologi, serta media dan komunikasi.

Sejarah

sunting

Malwer Gayfemboy pertama kali diidentifikasi pada Februari 2024 oleh peneliti keamanan Fortinet, setelah terjadinya peningkatan signifikan serangan siber pada Januari 2024. Pada tahap awal, malware ini memanfaatkan perangkat yang terinfeksi sebagai bagian dari botnet untuk melancarkan serangan kegagalan layanan terhadap sejumlah situs web target.^[1]

Sampel malwer yang diketahui menggunakan teknik pengaburan dengan packer UPX, namun penanda khas “UPX!” dimodifikasi dengan karakter noncetak dalam representasi heksadesimal untuk mempersulit proses deteksi. Setelah dieksekusi, malwer melakukan pemindaian terhadap proses aktif melalui direktori sistem /proc/[PID]/exe dan /proc/[PID]/cmdline guna mengumpulkan informasi mengenai proses yang berjalan. Malwer memuat puluhan string perintah ke dalam memori dan menghentikan proses tertentu apabila ditemukan kecocokan.^[2] Mekanisme pemantauan internal digunakan untuk menjaga keberlangsungan malwer serta mendeteksi lingkungan analisis (sandbox). Apabila aktivitas malware terhenti atau terdeteksi berada dalam lingkungan analisis, malware dapat memicu periode tidak aktif yang panjang atau melakukan inisialisasi ulang.

Pola infeksi dan penargetan Gayfemboy menunjukkan kemiripan dengan malwer keluarga Mirai dan mendukung berbagai arsitektur sistem, termasuk ARM, AArch64, MIPS R3000, PowerPC, dan Intel 80386. Malwer ini mengelola utas dan proses secara aktif, menggunakan teknik persistensi, serta mengikatkan diri pada port UDP tertentu. Serangan DDoS dilakukan melalui protokol UDP, TCP, dan ICMP. Selain itu, Gayfemboy menyediakan akses pintu belakang dengan menghubungi peladen jarak jauh untuk menerima perintah, namun dapat menghentikan dirinya sendiri apabila mendeteksi manipulasi lingkungan eksekusi.^[3]

Serangan yang dilakukan Gayfemboy banyak memanfaatkan peladen Redis yang tidak diautentikasi pada port 6379. Melalui eksekusi perintah konfigurasi yang sah, malwer memicu pembuatan tugas terjadwal berbahaya yang menjalankan skrip shell. Skrip tersebut dirancang untuk menonaktifkan mekanisme keamanan seperti SELinux, menerapkan teknik penghindaran pertahanan, membatasi akses eksternal ke layanan Redis, serta menghentikan proses penambangan kripto lain yang bersaing.

Botnet Gayfemboy terus berkembang sepanjang tahun 2024 dan dilaporkan telah menggunakan teknik lanjutan, termasuk eksploitasi kerentanan zero-day. Pada November 2024, botnet ini diperkirakan memiliki lebih dari 15.000 node aktif, dengan fokus penargetan pada router industri dan perangkat rumah pintar.^[4] Operator malwer juga dilaporkan melakukan serangan DDoS terhadap peneliti keamanan yang memantau aktivitas mereka.

Pada Juli 2025, FortiGuard Labs mengidentifikasi muatan Gayfemboy yang mengeksploitasi berbagai kerentanan pada perangkat jaringan dan elektronik konsumen. Analisis menunjukkan penggunaan skrip pengunduh yang menargetkan perangkat dari sejumlah produsen, termasuk Asus, Vivo, Zyxel, dan Realtek. Muatan tersebut mencakup malwer utama serta penambang mata uang kripto Monero.^[5]

Pada Agustus 2025, Fortinet menerapkan langkah mitigasi berlapis melalui layanan FortiGuard, termasuk pemblokiran domain command and control (C2) dan pembaruan tanda tangan sistem pencegahan intrusi. Langkah ini ditujukan untuk melindungi sistem dari kerentanan yang dieksploitasi dalam kampanye Gayfemboy.

Lihat juga

sunting

Mirai

Referensi

sunting

^ Riedel, Samantha (2025-08-28). "Sophisticated "Gayfemboy" Malware Is Attacking Multiple Industries Around the Globe". Them (dalam bahasa American English). Diakses tanggal 2026-01-12.
^ online, heise (2025-08-25). "Mirai-based botnet campaign "Gayfemboy" also active in Germany". Security (dalam bahasa Inggris). Diakses tanggal 2026-01-12.
^ News, The Hacker. "GeoServer Exploits, PolarEdge, and Gayfemboy Push Cybercrime Beyond Traditional Botnets". The Hacker News (dalam bahasa Inggris). Diakses tanggal 2026-01-12.
^ Winder, Davey. "Gayfemboy 0-Day Router Attacks Ongoing—What You Need To Know". Forbes (dalam bahasa Inggris). Diakses tanggal 2026-01-12.
^ Paganini, Pierluigi (2025-08-24). "IoT under siege: The return of the Mirai-based Gayfemboy Botnet". Security Affairs (dalam bahasa American English). Diakses tanggal 2026-01-12.

[1] Riedel, Samantha (2025-08-28). "Sophisticated "Gayfemboy" Malware Is Attacking Multiple Industries Around the Globe". Them (dalam bahasa American English). Diakses tanggal 2026-01-12.

[2] , heise (2025-08-25). "Mirai-based botnet campaign "Gayfemboy" also active in Germany". Security (dalam bahasa Inggris). Diakses tanggal 2026-01-12.

[3] News, The Hacker. "GeoServer Exploits, PolarEdge, and Gayfemboy Push Cybercrime Beyond Traditional Botnets". The Hacker News (dalam bahasa Inggris). Diakses tanggal 2026-01-12.

[4] Winder, Davey. "Gayfemboy 0-Day Router Attacks Ongoing—What You Need To Know". Forbes (dalam bahasa Inggris). Diakses tanggal 2026-01-12.

[5] Paganini, Pierluigi (2025-08-24). "IoT under siege: The return of the Mirai-based Gayfemboy Botnet". Security Affairs (dalam bahasa American English). Diakses tanggal 2026-01-12.

[1]

[2]

[3]

[4]

[5]