Tweet yang dibuat oleh Costin Raiu Kaspersky Lab pada hari Selasa, mengatakan bahwa malware bersarang di dalam kode CCleaner v5.33 bersama dengan trojan backdoor Missoff yang digunakan oleh kelompok hacker yang disebut Aksioma.

Kelompok hacker diasumsikan berbasis di China, dan juga dikenal dengan nama lain termasuk Grup 72, APT17, DeputyDog, dll. Keberadaan malware di executable CCleaner 5.33 telah dilaporkan pada hari Senin. Kesamaan dalam kode tersebut juga terlihat dan disebutkan dalam sebuah laporan yang diterbitkan oleh Cisco Talos – kelompok intelijen di dalam Cisco.

Periset mengatakan pihak ketiga memberikan rincian perintah dan pusat kontrol yang digunakan oleh malware. Mereka menemukan sekitar 20 nama perusahaan teknologi, termasuk Cisco, penyerang tersebut ingin memanfaatkannya melalui malware.

“Berdasarkan review tracking database C2, yang hanya mencakup empat hari di bulan September, kami dapat memastikan bahwa setidaknya 20 korban melayani payload kedua khusus,” tulis para peneliti di postingan tersebut.

Ada banyak perusahaan besar yang terpengaruh, termasuk Cisco, Microsoft, Intel, Sony, Samsung, HTC, DLink, VMWare, dll. Para periset mengasumsikan kemungkinan penyerang dapat menjalankan kekayaan intelektual yang berharga yang dimiliki oleh perusahaan-perusahaan ini.

Satu tindakan yang disarankan kepada pengguna yang terkena dampak ialah dengan mengupdate ke versi terbaru CCleaner. Namun para periset menekankan, setidaknya dalam kasus perusahaan besar, mereka harus memulihkan sistem mereka melalui backup atau reimage mereka untuk menghapus malware sepenuhnya.

Mengenai keterkaitan malware CCleaner dengan Aksioma atau Kelompok 72, Cisco Talos ditemukan kesamaan kode, dan mereka juga menganalisis klaim yang dibuat oleh periset Kaspersky. Namun, mereka tidak mengklaim bahwa Grup 72 terkait dengan malware CCleaner secara kangsung.