Fileless Malware

03 Oct 2025

Pendahuluan

Meet Mr. X. Awalnya tujuannya sederhana, ingin menghidupkan penambang kripto di ratusan komputer untuk meraup keuntungan. Metode yang digunakan klasik, yaitu dengan menyisipkan kode berbahaya lewat lampiran email, file bajakan, atau arsip yang diunduh korban. Awalnya metode ini cukup efektif. Namun seiring waktu, sistem pertahanan berkembang dan berhasil melacak malware Mr.X berdasarkan catatan log dan bukti – bukti lain yg tertinggal di system. Sehingga mesin‑mesin yang dikendalikan Mr. X kini cepat terdeteksi dan aksesnya diputus.

Mr. X pun mengganti taktik. Kini Alih‑alih menaruh program jahat di disk, malware yang ia kembangkan sekarang hidup di memori (RAM) atau “menunggang” alat bawaan Windows seperti PowerShell, WMI, atau macro Office. Payload dimuat langsung ke memori , dieksekusi, dipakai, lalu lenyap saat sistem direboot. Tidak ada file untuk di‑hash, tidak ada path file yang bisa dipantau, dan seringkali tidak ada artefak yang tersisa di disk sehingga menjadi sangat sulit untuk dideteksi.

Fenomena ini bukan skenario fiksi. Konsep malware tanpa file sudah bermula sejak awal 2000‑an, sejak terdeteksinya malware Code Red worm dan terus berevolusi menjadi teknik yang semakin rumit dan belakangan menjadi tren serangan yang makin meningkat. 

Tahapan dalam serangan fileless malware

Secara sederhana ada 3 tahapan dalam serangan fileless malware yaitu : 

  1. Initial Access
    Pada tahap ini penyerang akan masuk ke sistem korban melalui email palsu (phishing) atau bisa dengan memanfaatkan celah keamanan di server seperti buffer overflow, etc.
  2. Credential Theft & Lateral Movement
    Tahap selanjutnya, penyerang akan berusaha untuk mengambil kredensial korban sehingga penyerang bisa bergerak ke sistem lain di jaringan korban.
  3. Mempertahankan Akses
    Langkah ketiga, penyerang akan menetapkan mekanisme agar ia bisa kembali tanpa mengulangi eksploit awal bahkan setelah reboot. Biasanya dengan memanfaatkan scheduled tasks, layanan yang dimodifikasi, menyimpan skrip/rekaman terenkripsi di registry atau event logs,atau bisa juga dengan injeksi ke proses yang sah sehingga kode aktif kembali saat proses tersebut berjalan.
  4. Exfiltration / Goal execution
    Terakhir, penyerang akan mengeksekusi tujuan jahatnya seperti mengekstrak (exfiltrate) atau mengenkripsi data, serta membangun kanal perintah dan kendali (command & control) untuk membuat pasukan bot.

Contoh kasus nyata + dampak

  1. EggStreme — Philippines Military
    Sebuah kampanye spionase mutakhir, yang diteliti oleh Bitdefender, menggunakan malware fileless bernama EggStreme yang menarget institusi militer Filipina.

    • Teknik: Malware ini seluruhnya berjalan di memori (tidak menulis file tradisional ke disk) untuk menghindari deteksi. Payloadnya di-deliver melalui DLL sideloading menggunakan binary yang sah. 
    • Komponen-nya kompleks: pengambil awal (loader), injektor payload, deskripsi payload, backdoor, keylogger, dan backdoor cadangan. 
    • Dampak: Karena sifatnya stealthy (berjalan di memori / menggunakan alat loTL — living off the land), sangat sulit dideteksi. Informasi militer bisa terekspos, spionase berlangsung dengan efek yang panjang jika tidak segera diketahui dan dihentikan.
  2. Campaign menyembunyikan malware dalam Windows Event Logs — Kaspersky
    • Kasus oleh Kaspersky menunjukkan bahwa ada kampanye malware targetted yang menggunakan metode “fileless” tetapi memanfaatkan event logs Windows sebagai tempat ‘penyimpanan’ (tahap tertentu) atau artefak.
    • Teknik: Dropper module menginfeksi melalui arsip file (download oleh korban). Tapi untuk bagian terakhir (last stage trojans), modul-modul tersebut tidak ditulis ke file di sistem dengan cara tradisional, melainkan disembunyikan, dienkripsi, atau menggunakan teknik wrapper anti-deteksi. 
    • Dampak: Menyulitkan forensik dan analisis sebab artefak fisik sedikit/tidak jelas. Pendeteksian lewat signature sulit karena modul-modul tersebut dibungkus (wrapped), sering ditandatangani sertifikat digital (yang bisa tampak sah).
  3. Titanium APT — Group PLATINUM
    • Malware Titanium dikembangkan oleh kelompok APT bernama PLATINUM. 
    • Teknik: Titanium menggunakan serangkaian tahap infiltrasi yang sangat kompleks, termasuk fileless technologies. Meski terdapat tahap yang menulis file, banyak bagian operasi dan persistensi dilakukan dengan metode yang menyembunyikan artefak file di sistem file, atau tidak menyimpannya secara langsung di disk yang terlihat, menggunakan enkripsi dan teknik stealth lainnya. 
    • Dampak: Karena kemampuannya untuk tetap tersembunyi, dan menggunakan teknik enkripsi/stealth, deteksi menjadi sangat sulit. Organisasi yang terinfeksi mungkin tidak menyadari pengintaian atau kebocoran data sampai sudah cukup lama. Juga menunjukkan bahwa APT bisa menggabungkan berbagai teknik (file-less + file-based) agar serangan lebih fleksibel dan lebih sulit dihentikan.
  4. Peningkatan Serangan Fileless di Indonesia (Laporan Trend Micro, 2019)
    • Di Indonesia, sudah dilaporkan bahwa serangan fileless meningkat secara signifikan. Trend Micro melaporkan lonjakan sekitar 265% selama semester pertama 2019 dibanding dengan periode yang sama tahun sebelumnya. 
    • Teknik & Karakteristik: Banyak ancaman fileless yang masuk via email atau phishing, atau menggunakan makro dokumen, skrip, dan alat sistem (PowerShell, WMI). 
    • Dampak: Untuk banyak bisnis di Indonesia, ini berarti risiko keamanan yang lebih tinggi, dan potensi kerugian reputasi + finansial bila serangan berhasil. Meskipun tidak selalu ada laporan publik dari kasus besar-besaran fileless spesifik (dengan detail publik), kenaikan prevalensi sendiri sudah menjadi alarm bahwa organisasi harus lebih waspada.

Mengapa sulit dideteksi ?

Fileless malware itu sulit dideteksi karena cara kerjanya berbeda dari malware biasa. Kalau malware konvensional biasanya meninggalkan file di hard disk, fileless malware justru langsung berjalan di memori (RAM), jadi nggak ada file yang bisa dipindai oleh antivirus. Selain itu, malware jenis ini sering memanfaatkan alat bawaan sistem seperti PowerShell, WMI, atau macro di Microsoft Office. Karena menggunakan program yang memang sah dan sudah ada di sistem, aktivitasnya kelihatan normal, padahal sebenarnya berbahaya. Lebih rumit lagi, fileless malware nggak meninggalkan jejak permanen. Begitu komputer di-restart, jejaknya bisa hilang begitu saja, sehingga sulit dilacak lewat forensik digital. Teknik ini disebut “living off the land,” yaitu memanfaatkan alat sah yang sudah ada untuk menyamarkan diri. Karena nggak ada signature atau pola tetap yang bisa dideteksi, antivirus tradisional sering gagal mengenalinya. Jadi, untuk mendeteksi fileless malware, dibutuhkan sistem keamanan yang lebih canggih seperti analisis perilaku, pemantauan aktivitas memori, dan penggunaan teknologi seperti EDR (Endpoint Detection and Response) yang bisa memantau perilaku mencurigakan secara real-time.

Bagaimana cara mencegah & melindungi diri dari Fileless Malware

Untuk mencegah dan melindungi diri dari fileless malware, kamu perlu menerapkan strategi keamanan yang berfokus pada perilaku sistem dan kewaspadaan pengguna, bukan hanya mengandalkan antivirus tradisional. Langkah pertama yang sangat penting adalah selalu memperbarui sistem operasi dan aplikasi secara rutin, karena pembaruan ini biasanya membawa patch keamanan yang menutup celah yang bisa dimanfaatkan oleh malware. Selain itu, batasi penggunaan alat bawaan seperti PowerShell dan WMI hanya untuk administrator, atau gunakan mode terbatas (constrained mode) agar skrip berbahaya tidak bisa dijalankan.

Selanjutnya, gunakan solusi keamanan modern seperti Endpoint Detection and Response (EDR) atau Next-Gen Antivirus (NGAV) yang mampu memantau perilaku mencurigakan di memori, bukan hanya memindai file. Pastikan juga macro di Microsoft Office dinonaktifkan secara default, karena sering menjadi pintu masuk utama serangan fileless. Terapkan prinsip least privilege, yakni tidak menggunakan akun dengan hak admin untuk aktivitas sehari-hari agar malware tidak memiliki izin untuk mengubah sistem. Selain itu, aktifkan firewall dan lakukan pemantauan jaringan secara rutin untuk mendeteksi koneksi mencurigakan menuju server berbahaya.

Terakhir, edukasi pengguna menjadi faktor yang tak kalah penting. Biasakan untuk tidak sembarangan mengklik tautan atau membuka lampiran dari sumber yang tidak dikenal, karena sebagian besar serangan fileless dimulai dari phishing. Dengan kombinasi langkah-langkah berikut:

  • Update rutin sistem dan aplikasi
  • Pembatasan PowerShell dan WMI
  • Penggunaan EDR/NGAV
  • Menonaktifkan macro berbahaya
  • Penerapan prinsip least privilege
  • Pemantauan jaringan
  • Edukasi dan kewaspadaan pengguna

Dengan ini kamu dapat secara signifikan mengurangi risiko terinfeksi fileless malware dan menjaga keamanan sistem tetap optimal.

Kesimpulan

Fileless malware merupakan evolusi ancaman siber yang memanfaatkan memori dan alat bawaan sistem (PowerShell, WMI, registry, dll.) sehingga sering tidak meninggalkan artefak file yang bisa dipindai oleh solusi tradisional; akibatnya ia mampu melakukan spionase, eksfiltrasi data, atau menjadi pintu masuk untuk payload lain tanpa cepat terdeteksi. Pendekatan “living-off-the-land” dan injeksi ke proses sah membuat teknik ini sangat stealthy dan adaptif — banyak otoritas keamanan menegaskan bahwa fileless attacks menuntut pendekatan deteksi berbasis perilaku dan analisis memori, bukan sekadar signature scanning.

Untuk bertahan dari ancaman ini, organisasi harus mengkombinasikan teknologi dan proses: EDR/XDR atau solusi endpoint yang memantau perilaku runtime dan aktivitas memori, pembatasan/whitelisting penggunaan alat scripting, patching rutin, segmentasi jaringan, serta sosialisasi pengguna terhadap phishing dan makro berbahaya. Selain teknologi, praktik proaktif seperti threat hunting, logging yang lengkap (termasuk audit PowerShell/WMI), dan prosedur respons insiden yang siap melakukan forensik memori menjadi krusial—karena deteksi cepat dan tindakan respons menentukan apakah serangan fileless berakhir sebagai insiden minor atau pelanggaran besar.

 

REFERENSI 

News, T. H. (2025, September 10). Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems. The Hacker News. https://thehackernews.com/2025/09/chinese-apt-deploys-eggstreme-fileless.html?

Wikipedia contributors. (2025, July 30). Titanium (malware). Wikipedia. https://en.wikipedia.org/wiki/Titanium_%28malware%29?

Kaspersky. (2022, May 4). A new take on “fileless” malware: malicious code in event logs. https://www.kaspersky.com/about/press-releases/a-new-take-on-fileless-malware-malicious-code-in-event-logs?utm

ArmsCyber. (2023, November 16). The History of Fileless Malware. ArmsCyber. https://www.armscyber.com/resources/blog/the-history-of-fileless-malware/ 

ArmsCyber, (2023, November 26). History of Fileless Cyber Attacks. Medium. History of Fileless Cyber Attacks | by Arms Cyber | Threat Insights | Medium