Dalam beberapa tahun terakhir, ekosistem ransomware berkembang sangat cepat. Kelompok kriminal kini lebih sering memanfaatkan layanan packer-as-a-service—layanan yang membantu menyembunyikan malware dari solusi keamanan. Setelah sebelumnya kita melihat HeartCrypt dan sejumlah crypter populer lainnya, kini muncul pemain baru bernama Shanya, yang mulai banyak digunakan oleh kelompok ransomware dan pelaku serangan tingkat lanjut.
Shanya bukan sekadar alat pengepakan malware. Ia hadir sebagai crypter modern dengan fitur anti-deteksi yang agresif, teknik penyembunyian struktural, serta integrasi dengan komponen yang dirancang khusus untuk melemahkan solusi EDR. Dalam beberapa kasus, Shanya bahkan berfungsi sebagai fondasi dari EDR killer baru yang digunakan untuk membuka jalan bagi ransomware seperti Akira, Qilin, Crytox, hingga Medusa.
Artikel ini merangkum asal-usul Shanya, cara kerjanya, serta bagaimana ia digunakan dalam serangan nyata.
Asal Usul Shanya di Dunia Bawah Tanah
Akhir 2024, komunitas underground mulai memperbincangkan penawaran baru bernama VX Crypt, diklaim berasal dari seorang aktor kriminal dengan julukan Shanya. Unggahan forum yang berbahasa Rusia itu mempromosikan fitur-fitur seperti:
-
pemuatan modul non-standar ke memori
-
stub unik dengan algoritma enkripsi berbeda untuk setiap pelanggan
-
bypass AMSI untuk .NET
-
anti-VM dan anti-sandbox
-
autorun, UAC bypass, serta kemampuan process injection
-
perlindungan runtime untuk file native dan 32-bit
Penawaran tersebut disertai kontak Telegram yang juga memuat nama “shanya”, memperkuat dugaan bahwa penulis crypter dan penjual layanan adalah entitas yang sama.
Versi awal Shanya yang ditemukan peneliti masih menyisakan jejak yang tak sengaja, seperti nama file shanya_crypter.exe atau nama DLL dengan variasi istilah kasar. Tetapi seiring waktu, jejak tersebut menghilang—tanda bahwa pembuatnya terus menyempurnakan produknya.
Persebaran dan Penggunaan Awal
Sepanjang 2025, sampel Shanya muncul di berbagai belahan dunia. Data telemetri menunjukkan tingkat deteksi lebih tinggi di:
-
Tunisia
-
Uni Emirat Arab
-
Nigeria
-
Pakistan
-
Costa Rica
Menariknya, hampir semua deteksi dari Tiongkok berada di wilayah Shenzhen—indikasi bahwa aktivitas tersebut mungkin terkait lokasi pengembangan atau pengujian.
Di berbagai kampanye, Shanya digunakan untuk mengepak beragam malware: stealer, downloader seperti WHT, serta loader berbahaya lainnya. Tidak lama kemudian, ia muncul sebagai komponen peluncur untuk EDR killer tingkat lanjut dan backdoor seperti CastleRAT.
Bagaimana Shanya Menyembunyikan Payload
Shanya dikenal sangat obfuscate dan penuh junk code yang mempersulit analisis. Mekanismenya meliputi:
1. Menyimpan struktur penting dalam PEB
Shanya menaruh alamat fungsi dan konfigurasi di dalam bagian GdiHandleBuffer pada Process Environment Block. Dengan begitu, setiap tahap eksekusi dapat mengakses data penting dengan cepat tanpa terlihat mencurigakan oleh solusi keamanan.
2. API Hashing Dinamis
Daripada menggunakan nama API secara langsung, Shanya melakukan hashing terhadap nama fungsi Windows API, lalu mencocokkannya di daftar ekspor modul. Teknik ini umum, tetapi variasi algoritmanya berbeda-beda di setiap sampel—membantu menghindari deteksi berbasis signature.
3. Anti-analisis
Shanya memanggil RtlDeleteFunctionTable dengan konteks salah guna mendeteksi debugger. Jika fungsi ini ternyata hooked oleh EDR, Shanya menghitung alamat asli dan melewati hook tersebut.
4. DLL Injection Kreatif
Salah satu trik paling unik adalah memuat dua instance shell32.dll sekaligus. Yang asli tetap berada di lokasi semestinya, sementara yang kedua dimodifikasi di memori—bagian header dan section .text diganti dengan payload berbahaya.
Nama modul juga dimanipulasi di struktur PEB, misalnya menjadi mustard64.dll atau nama lain yang tampak sah. Teknik ini menyulitkan analisis otomatis dan alat forensik.
Shanya sebagai EDR Killer
Salah satu penggunaan paling berbahaya dari Shanya adalah peluncuran EDR killer yang mematikan perlindungan endpoint sebelum ransomware dijalankan.
Skema serangan biasanya:
-
Menyalahgunakan program sah seperti consent.exe (DLL sideloading).
-
Memuat DLL jahat yang diproteksi Shanya—misalnya msimg32.dll atau version.dll.
-
Meload dua driver:
-
ThrottleStop.sys/rwdrv.sys (driver legal yang rentan)
-
hlpdrv.sys (driver kernel jahat)
-
-
Driver jahat kemudian menggunakan kerentanan driver legal untuk:
-
menghentikan layanan EDR
-
menghapus file eksekusi
-
mematikan proses keamanan
-
Daftar target sangat panjang—puluhan produk keamanan populer termasuk Sophos, Microsoft, CrowdStrike, dan ESET.
Dalam banyak kasus, setelah EDR killer dijalankan, barulah ransomware seperti Akira mengambil alih sistem.
Shanya dalam Serangan Nyata: CastleRAT di Industri Hotel
Salah satu kampanye yang paling jelas adalah serangan bertema Booking.com pada September 2025, menargetkan berbagai hotel. Korban diarahkan ke halaman palsu dengan CAPTCHA tiruan, lalu menjalankan PowerShell yang mengunduh arsip consent.zip berisi:
-
consent.exe (clean loader)
-
wmsgapi.dll (DLL jahat berukuran 656MB)
-
payload CastleRAT
Kampanye ini memanfaatkan Shanya sebagai mekanisme pengepakan seluruh rantai serangan.
Kesimpulan
Shanya adalah contoh nyata evolusi ekosistem packer-as-a-service. Dengan fitur anti-analisis yang canggih, modifikasi struktur Windows di tingkat rendah, serta integrasi dengan EDR killer, Shanya semakin menjadi pilihan favorit kelompok ransomware.
Selama ada permintaan dan keuntungan finansial, layanan seperti ini tidak akan hilang. Bahkan, kemungkinan besar kita akan melihat versi Shanya yang lebih canggih dalam waktu dekat.
Keamanan siber bukan sekadar teknologi—ini soal kepercayaan. Dan Sophos siap memberikan keduanya.
Risau dengan potensi serangan siber? Sophos menyediakan solusi yang dapat memperkuat pertahanan digital Anda.
- Hubungi Tim Sophos Indonesia
atau
- Diskusikan bersama PT. iLogo Infralogy Indonesia.
Kami bantu memastikan sistem keamanan Anda selalu cepat, kuat, dan efektif.
