GigaWiper memberi pengendalinya kemampuan penuh atas komputer yang terinfeksi, termasuk memicu penghancuran data kapan saja. Backdoor ini juga dapat menerima perintah jarak jauh untuk mengintai layar korban, menjalankan proses tertentu, dan mengendalikan perangkat input.
Ancaman tersebut menjadi berbahaya karena tidak hanya berfungsi sebagai malware penghapus data. GigaWiper menggabungkan kemampuan mata-mata, akses jarak jauh, dan beberapa metode pemusnahan penyimpanan dalam satu paket.
Microsoft Threat Intelligence pertama kali mendeteksi GigaWiper pada Oktober 2025. Malware yang ditulis dengan bahasa pemrograman Go ini menargetkan drive penyimpanan lokal, file, hingga partisi logika pada perangkat korban.
Ketika menerima instruksi dari server komando dan kontrol atau C2, GigaWiper dapat menjalankan 20 jenis perintah jarak jauh. Perintah itu mencakup pengambilan tangkapan layar, perekaman video, serta siaran langsung tampilan layar kepada operator malware.
Fitur akses jarak jauhnya juga memungkinkan pelaku mengendalikan keyboard dan mouse korban. Dengan kemampuan tersebut, pelaku dapat berinteraksi langsung dengan sistem yang sudah terinfeksi tanpa berada di dekat perangkat.
Kemampuan Pengintaian dan Penghindaran Deteksi
GigaWiper memakai komunikasi berbasis TCP untuk menjalankan fungsi siaran layar. Malware ini berupaya menyembunyikan aktivitas tersebut dengan membuat pengecualian khusus pada Windows Firewall.
Selain memantau layar, malware ini mampu mengumpulkan informasi rinci mengenai mesin korban. GigaWiper juga dapat memanipulasi proses perangkat lunak, menghapus catatan aktivitas, dan mengubah registry sistem.
| Modul | Dasar Kemampuan | Dampak pada Data |
|---|---|---|
| Wiper mandiri | Menimpa disk dalam mode raw | Data ditulis ulang langsung pada tingkat fisik disk |
| Ransomware palsu | Turunan dari Crucio | File dikunci tanpa kunci dekripsi untuk pemulihan |
| Penghapus sistem | Mengadopsi logika FlockWiper | Drive sistem operasi Windows dibersihkan berlapis |
Tiga Jalur Penghancuran Data
Modul wiper mandiri menimpa data hard disk dalam mode raw. Cara ini bekerja langsung pada tingkat fisik disk, bukan hanya melalui metadata file atau partisi.
Modul kedua menyamar sebagai ransomware dan diturunkan dari keluarga Crucio. File korban memang dienkripsi, tetapi malware ini tidak menyimpan kunci dekripsi sehingga data yang terkunci tidak dapat dipulihkan.
Komponen ketiga menggunakan logika yang diadopsi dari FlockWiper. Modul tersebut dirancang untuk menghapus drive sistem operasi Windows secara menyeluruh melalui proses pembersihan berlapis.
Microsoft menyebut GigaWiper sebagai malware “Frankenstein” karena dirakit dari sedikitnya tiga keluarga malware terpisah. Keterkaitan itu terlihat melalui alur eksekusi, penamaan fungsi, dan kecocokan string data yang ditemukan dalam analisis kode.
Selain Crucio dan FlockWiper, Microsoft menemukan komponen bernama CutBrooch. Komponen ini diduga menjadi pusat kendali bagi modul penghapus mandiri pada GigaWiper.
Langkah Mitigasi
Microsoft menyarankan pengguna dan organisasi mengaktifkan Tamper Protection pada Windows Defender. Fitur ini ditujukan untuk membantu mencegah perubahan tidak sah terhadap pengaturan perlindungan keamanan.
Pengguna juga disarankan menyalakan proteksi berbasis cloud. Langkah tersebut penting untuk membantu menghadapi ancaman yang berkembang cepat sebelum basis data virus lokal sempat diperbarui.
