Vulnerability Kritis di n8n: Celah RCE Baru Bisa Ambil Alih Server Hanya Lewat Workflow

  

Di balik kemudahan automasi workflow yang ditawarkan n8n, tersimpan ancaman serius yang baru saja terungkap ke publik. Sebuah kerentanan keamanan kritis memungkinkan penyerang menjalankan perintah sistem secara jarak jauh hanya dengan memanipulasi ekspresi dalam workflow. Jika berhasil dieksploitasi, satu workflow sederhana cukup untuk menguasai seluruh server tempat n8n berjalan.

Celah ini diberi kode CVE-2026-25049 dengan tingkat keparahan sangat tinggi. Yang membuatnya lebih mengkhawatirkan, bug ini merupakan celah lanjutan dari kerentanan sebelumnya yang sudah sempat ditambal pada akhir 2025. Artinya, mekanisme proteksi yang ada ternyata masih bisa dilewati dengan teknik tertentu.

Masalah utama terletak pada sistem sanitasi ekspresi milik n8n. Pengguna yang memiliki akses membuat atau mengedit workflow dapat menyisipkan ekspresi berbahaya yang lolos dari filter keamanan. Ketika workflow dijalankan, ekspresi ini berubah menjadi perintah sistem yang dieksekusi langsung oleh server.

Dalam praktiknya, serangan bisa dibuat sangat sederhana. Penyerang cukup membuat workflow dengan webhook publik tanpa autentikasi, lalu menambahkan satu baris JavaScript khusus menggunakan teknik destructuring. Begitu workflow aktif, siapa pun di internet bisa memanggil webhook tersebut dan menjalankan command langsung di server korban.

Inilah yang membuat eksploitasi ini sangat berbahaya. Tidak dibutuhkan kredensial lanjutan, tidak perlu teknik rumit. Satu endpoint publik sudah cukup untuk remote code execution.

Dampaknya pun jauh lebih besar dari sekadar crash sistem. Peneliti keamanan menemukan bahwa celah ini memungkinkan pencurian API key, password database, token OAuth, hingga akses penuh ke filesystem internal. Bahkan workflow AI dan integrasi cloud dapat dibajak untuk menyebarkan serangan lanjutan.

Lebih parah lagi, penyerang bisa memasang backdoor permanen agar tetap memiliki akses jangka panjang ke server, meskipun bug telah ditambal di kemudian hari.

Akar masalah teknisnya berasal dari ketidaksinkronan antara sistem tipe TypeScript dan perilaku JavaScript saat runtime. Pada saat kompilasi, TypeScript memaksa parameter tertentu bertipe string. Namun saat aplikasi berjalan, penyerang bisa menyuntikkan objek atau struktur data lain yang sepenuhnya melewati proses sanitasi.

Dengan kata lain, sistem keamanan hanya kuat di atas kertas, tapi rapuh di dunia nyata.

Selain vulnerability utama ini, n8n juga mengungkap beberapa celah kritis lain yang tak kalah berbahaya. Ada command injection di Git node, stored XSS di antarmuka workflow, path traversal dalam transfer file, hingga kemampuan menulis file arbitrer langsung ke server. Beberapa di antaranya juga berpotensi berujung pada remote code execution.

Kombinasi celah-celah ini menjadikan n8n target bernilai tinggi bagi aktor ancaman, terutama karena platform ini sering terhubung langsung ke database, cloud provider, API internal, dan sistem produksi.

Bagi pengguna yang belum sempat melakukan update, langkah darurat yang disarankan adalah membatasi hak akses workflow hanya untuk user yang benar-benar tepercaya serta menjalankan n8n di lingkungan yang terisolasi dengan privilege minimal. Namun solusi paling efektif tetap satu: segera memperbarui ke versi terbaru yang telah menutup semua celah ini.

Kasus n8n menjadi pelajaran penting bahwa automasi modern membawa risiko besar jika tidak diamankan secara serius. Workflow yang dirancang untuk efisiensi justru bisa berubah menjadi senjata peretasan massal ketika validasi input diabaikan.

Di era DevOps, AI workflow, dan sistem terintegrasi, satu bug kecil tidak lagi berdampak kecil. Ia bisa menjadi pintu masuk kehancuran seluruh infrastruktur.

Ribuan Server AI Terbuka di Internet: Ancaman Baru dari Ollama dan Fenomena LLMjacking Global

Dunia kecerdasan buatan sedang berkembang cepat, tetapi di balik kemajuan itu muncul risiko keamanan yang jauh lebih serius dari yang dibayangkan banyak orang. Sebuah investigasi bersama dari SentinelOne SentinelLABS dan Censys baru-baru ini mengungkap keberadaan lapisan besar infrastruktur AI yang terbuka ke publik tanpa pengamanan memadai. Lebih dari 175.000 host Ollama ditemukan aktif di 130 negara, tersebar di jaringan cloud hingga koneksi rumah pribadi, dan sebagian besar berjalan di luar sistem keamanan standar perusahaan teknologi.

Yang mengejutkan, lebih dari 30 persen eksposur terbesar berasal dari Tiongkok, disusul Amerika Serikat, Jerman, Prancis, Korea Selatan, India, Rusia, Singapura, Brasil, dan Inggris. Ini bukan sekadar server uji coba biasa. Banyak di antaranya merupakan mesin AI aktif yang bisa diakses siapa saja melalui internet, tanpa autentikasi, tanpa firewall, dan tanpa pemantauan keamanan.

Ollama sendiri merupakan framework open-source yang memungkinkan siapa pun menjalankan model AI besar langsung di komputer lokal, baik di Windows, macOS, maupun Linux. Secara default sistem ini hanya berjalan di localhost, tetapi cukup dengan satu perubahan konfigurasi sederhana, layanan tersebut bisa terbuka penuh ke jaringan publik. Celah kecil inilah yang kini menciptakan permukaan serangan raksasa di internet global.

Masalah tidak berhenti pada akses terbuka. Hampir setengah dari host Ollama yang terdeteksi ternyata sudah mengaktifkan fitur tool calling, sebuah kemampuan yang memungkinkan AI menjalankan kode, mengakses API, berinteraksi dengan database, hingga mengontrol sistem eksternal. Di titik ini, AI bukan lagi sekadar mesin teks yang menjawab pertanyaan, melainkan komponen aktif dalam proses digital.

Peneliti menegaskan bahwa inilah perubahan besar dalam model ancaman keamanan AI. Jika endpoint AI biasa hanya berpotensi menghasilkan konten berbahaya, maka endpoint dengan tool calling dapat menjalankan operasi nyata di sistem korban. Tanpa autentikasi dan dengan eksposur publik, kombinasi ini menciptakan risiko tertinggi dalam ekosistem AI modern.

Lebih mengkhawatirkan lagi, ratusan server ditemukan menjalankan template prompt tanpa filter keamanan sama sekali. Beberapa bahkan telah mendukung kemampuan vision dan reasoning tingkat lanjut. Artinya, pelaku kejahatan bisa menggunakan infrastruktur AI korban untuk berbagai aktivitas berbahaya dengan daya komputasi yang besar dan gratis.

Fenomena ini melahirkan istilah baru di dunia keamanan siber: LLMjacking. Konsepnya sederhana tetapi dampaknya masif. Penyerang membajak akses ke layanan AI terbuka, lalu memanfaatkannya untuk menghasilkan spam, menjalankan kampanye disinformasi, melakukan aktivitas kripto ilegal, bahkan menjual kembali akses tersebut ke kelompok kriminal lain.

Ancaman ini bukan sekadar teori. Laporan terbaru dari Pillar Security mengungkap adanya operasi nyata bernama Operation Bizarre Bazaar. Kampanye ini secara sistematis memindai internet untuk mencari server Ollama terbuka, server vLLM, serta API AI yang kompatibel dengan OpenAI tanpa autentikasi. Setelah divalidasi kualitas responsnya, akses tersebut dijual kembali dengan harga murah melalui sebuah gateway ilegal.

Yang membuatnya semakin serius, ini adalah marketplace LLMjacking pertama yang teridentifikasi secara penuh, lengkap dari proses pencarian target hingga monetisasi. Operasi ini bahkan telah dikaitkan dengan aktor ancaman bernama Hecker, yang juga dikenal sebagai Sakuya dan LiveGamer101.

Berbeda dengan server cloud perusahaan besar, sebagian besar host Ollama ini berada di jaringan rumah dan sistem pribadi. Sifat terdesentralisasi ini menciptakan celah besar dalam tata kelola keamanan digital. Banyak pengguna tidak menyadari bahwa AI mereka kini terbuka ke publik dan dapat diakses siapa pun.

Kondisi ini juga membuka peluang baru untuk serangan prompt injection, proxying lalu lintas berbahaya, hingga eksploitasi sistem internal melalui AI sebagai perantara. Dengan kata lain, AI kini bukan hanya target serangan, tetapi juga alat serangan.

Para peneliti menekankan bahwa AI yang terhubung ke sistem eksternal harus diperlakukan sama seperti server publik lainnya. Autentikasi wajib, monitoring real-time harus aktif, dan kontrol jaringan tidak boleh diabaikan hanya karena layanan tersebut “sekadar AI”.

Kasus ribuan server Ollama terbuka ini menjadi sinyal keras bahwa era AI membawa dimensi risiko baru yang belum sepenuhnya dipahami banyak organisasi maupun individu. Ketika AI dipindahkan ke edge infrastructure dan sistem lokal, tanggung jawab keamanan ikut berpindah ke tangan pengguna.

Tanpa konfigurasi yang benar, AI bisa berubah dari alat produktivitas menjadi pintu masuk serangan global. LLMjacking kemungkinan besar akan berkembang pesat seiring makin banyaknya layanan AI yang dibuka ke internet tanpa proteksi.

Di masa depan, keamanan AI bukan lagi isu tambahan, melainkan bagian inti dari cybersecurity modern. Siapa pun yang menjalankan model AI, baik skala kecil maupun besar, harus mulai berpikir seperti administrator server publik. Karena di dunia digital hari ini, setiap port terbuka adalah undangan bagi penyerang.

Phishing Multi-Tahap di Rusia Sebar Ransomware dan Amnesia RAT Lewat GitHub dan Dropbox

Sebuah kampanye phishing multi-tahap baru terdeteksi menargetkan pengguna di Rusia dengan muatan berbahaya berupa ransomware dan remote access trojan bernama Amnesia RAT. Penelitian teknis yang dipublikasikan Fortinet FortiGuard Labs mengungkap bagaimana serangan ini memanfaatkan rekayasa sosial melalui dokumen bertema bisnis yang tampak rutin dan tidak mencurigakan. Dokumen tersebut berfungsi sebagai umpan visual, mengalihkan perhatian korban dengan tugas palsu atau pesan status, sementara aktivitas berbahaya berjalan diam-diam di latar belakang sistem.

Yang membuat kampanye ini menonjol adalah penggunaan beberapa layanan cloud publik secara terpisah untuk distribusi payload. Script berbahaya di-host di GitHub, sementara file biner utama ditempatkan di Dropbox. Strategi ini secara signifikan mempersulit upaya penindakan karena memecah infrastruktur serangan ke berbagai platform tepercaya.

Selain itu, aktor ancaman juga menyalahgunakan sebuah tool bernama defendnot untuk menonaktifkan Microsoft Defender. Defendnot awalnya dibuat sebagai eksperimen keamanan oleh peneliti independen untuk menipu Windows Security Center agar mengira antivirus lain sudah terpasang. Dalam kampanye ini, teknik tersebut dimanfaatkan untuk membuat Defender mematikan dirinya sendiri, membuka jalan bagi malware tanpa hambatan perlindungan endpoint.

Serangan dimulai melalui arsip terkompresi yang berisi beberapa dokumen umpan serta sebuah shortcut Windows berformat LNK dengan nama berbahasa Rusia. File ini menggunakan teknik double extension, seperti “Задание_для_бухгалтера_02отдела.txt.lnk”, sehingga tampak seperti file teks biasa. Ketika korban mengklik file tersebut, sebuah perintah PowerShell dijalankan untuk mengunduh script tahap berikutnya dari repositori GitHub.

Script ini berfungsi sebagai loader awal yang membangun pijakan di sistem korban, menyembunyikan jejak aktivitas berbahaya, serta meneruskan alur eksekusi ke tahap lanjutan. PowerShell secara otomatis menyembunyikan jendela konsol agar tidak terlihat oleh pengguna, lalu membuat dokumen umpan di direktori lokal yang langsung dibuka agar korban tetap mengira hanya membuka file biasa.

Di saat yang sama, sistem mengirim notifikasi ke pelaku melalui Telegram Bot API sebagai konfirmasi bahwa tahap awal berhasil. Setelah jeda sengaja selama 444 detik, script kemudian menjalankan file Visual Basic Script yang sangat terobfuscasi, yang dirancang untuk merakit payload berikutnya langsung di memori tanpa meninggalkan artefak di disk.

Script lanjutan memeriksa apakah berjalan dengan hak administrator. Jika tidak, malware secara berulang memunculkan prompt User Account Control untuk memaksa korban memberikan izin tinggi. Setelah hak akses diperoleh, serangkaian tindakan agresif dilakukan untuk menonaktifkan keamanan sistem.

Microsoft Defender dikonfigurasi dengan pengecualian direktori penting agar file berbahaya tidak terdeteksi. Komponen perlindungan tambahan dimatikan melalui PowerShell, lalu defendnot digunakan untuk memalsukan keberadaan antivirus lain sehingga Defender berhenti sepenuhnya. Selain itu, malware menjalankan modul .NET untuk mengambil screenshot setiap 30 detik dan mengirimkannya ke pelaku lewat Telegram.

Registry Windows dimanipulasi untuk menonaktifkan berbagai alat administratif dan diagnostik. Bahkan, malware membajak asosiasi file tertentu sehingga ketika korban membuka jenis file spesifik, muncul pesan yang mengarahkan mereka menghubungi pelaku melalui Telegram, memperkuat kontrol psikologis atas sistem yang terinfeksi.

Salah satu payload utama yang diunduh dari Dropbox adalah Amnesia RAT dengan nama file “svchost.scr”. Trojan ini dirancang untuk melakukan pencurian data secara luas, mulai dari informasi browser, dompet kripto, akun Discord, Steam, Telegram, hingga metadata sistem. Malware juga merekam layar, gambar webcam, audio mikrofon, clipboard, serta judul jendela aktif.

Amnesia RAT memungkinkan kendali jarak jauh penuh, termasuk eksekusi perintah shell, manajemen proses, penyebaran payload tambahan, dan instalasi malware lanjutan. Data yang dicuri diekstraksi melalui HTTPS menggunakan Telegram Bot API, sementara dataset besar dikirim ke layanan hosting file pihak ketiga seperti GoFile dengan tautan yang dilaporkan kembali ke pelaku.

Kemampuan ini menjadikan Amnesia RAT sebagai alat komprehensif untuk pencurian kredensial, pembajakan sesi, penipuan finansial, dan serangan lanjutan yang terkoordinasi.

Selain RAT, script juga mengirim ransomware turunan keluarga Hakuna Matata. Malware ini mengenkripsi dokumen, arsip, gambar, media, source code, dan aset aplikasi, setelah terlebih dahulu menghentikan proses yang berpotensi mengganggu enkripsi.

Ransomware ini bahkan memonitor clipboard dan diam-diam mengganti alamat dompet kripto dengan milik pelaku untuk membajak transaksi. Tahap akhir infeksi ditutup dengan pemasangan WinLocker yang membatasi interaksi pengguna terhadap sistem, memperparah dampak serangan.

Fortinet menegaskan bahwa rantai serangan ini membuktikan bagaimana malware modern dapat menguasai sistem sepenuhnya tanpa mengeksploitasi celah perangkat lunak. Dengan menyalahgunakan fitur Windows bawaan, kebijakan sistem, dan alat administratif, pelaku terlebih dahulu melumpuhkan pertahanan sebelum menyebarkan payload destruktif.

Microsoft sendiri merekomendasikan aktivasi Tamper Protection untuk mencegah perubahan tidak sah pada pengaturan Defender serta memantau aktivitas API yang mencurigakan.

Di sisi lain, organisasi Rusia juga tengah dibidik aktor ancaman UNG0902 melalui kampanye spear-phishing bernama Operation DupeHike sejak November 2025. Serangan ini menggunakan dokumen umpan bertema bonus karyawan dan kebijakan finansial internal untuk mengelabui korban agar membuka file LNK berbahaya dalam arsip ZIP. Malware DUPERUNNER kemudian mengunduh framework C2 AdaptixC2 secara diam-diam.

Tak hanya itu, kelompok lain yang dilacak sebagai Paper Werewolf memanfaatkan umpan berbasis AI serta file DLL dalam format Excel XLL add-in untuk menyebarkan backdoor EchoGather, yang mampu mengumpulkan informasi sistem dan berkomunikasi dengan server C2 melalui protokol HTTP(S).

Gelombang serangan phishing yang menargetkan Rusia ini menunjukkan evolusi nyata ancaman siber modern. Pemanfaatan layanan cloud tepercaya, penyalahgunaan fitur keamanan Windows, serta integrasi RAT dan ransomware dalam satu rantai serangan menjadikan kampanye ini sangat sulit dideteksi dan dihentikan.

Bagi organisasi dan individu, insiden ini menegaskan pentingnya kesadaran keamanan, perlindungan endpoint yang diperkuat, serta kewaspadaan tinggi terhadap dokumen bisnis yang tampak normal namun menyimpan ancaman tersembunyi.

Ancaman Siber Terafiliasi China Mengincar Infrastruktur Kritis Amerika Utara - Spionase

Aktor ancaman siber yang diduga memiliki keterkaitan dengan China terpantau aktif menargetkan sektor infrastruktur kritis di Amerika Utara setidaknya sejak tahun lalu. Aktivitas ini diungkap oleh Cisco Talos, yang melacak kampanye tersebut dengan nama UAT-8837. Berdasarkan analisis terhadap pola taktik, teknik, dan prosedur serangan, Talos menilai kelompok ini sebagai advanced persistent threat (APT) dengan afiliasi China, meskipun dengan tingkat keyakinan menengah, karena adanya tumpang tindih taktis dengan kampanye lain yang berasal dari kawasan yang sama.

Menurut Cisco Talos, UAT-8837 memiliki peran utama dalam memperoleh akses awal ke organisasi bernilai tinggi. Penilaian ini didasarkan pada aktivitas pasca-kompromi serta pendekatan teknis yang digunakan dalam setiap tahap serangan. Setelah berhasil mendapatkan pijakan awal, baik melalui eksploitasi server yang rentan maupun penggunaan kredensial yang telah dikompromikan, aktor ini secara konsisten memanfaatkan berbagai alat open-source untuk mengumpulkan informasi sensitif. Data yang ditargetkan mencakup kredensial, konfigurasi keamanan, hingga informasi domain dan Active Directory, yang kemudian digunakan untuk membangun beberapa jalur akses ke dalam     jaringan korban.

Dalam kampanye terbarunya, UAT-8837 dilaporkan mengeksploitasi kerentanan zero-day kritis pada platform Sitecore, yang teridentifikasi sebagai CVE-2025-53690 dengan skor CVSS 9.0. Metode intrusi ini menunjukkan kemiripan signifikan dalam hal TTP, perangkat, dan infrastruktur dengan kampanye yang sebelumnya diungkap oleh Mandiant pada September 2025. Meskipun belum dapat dipastikan bahwa kedua aktivitas tersebut dilakukan oleh aktor yang sama, temuan ini mengindikasikan bahwa UAT-8837 kemungkinan memiliki akses terhadap eksploit zero-day untuk melancarkan serangan siber tingkat lanjut.

Setelah berhasil menanamkan akses di jaringan target, aktor ini menjalankan tahap pengintaian awal sebelum menonaktifkan fitur RestrictedAdmin pada Remote Desktop Protocol. Langkah ini memungkinkan penyerang mengakses sistem tanpa perlindungan tambahan yang biasanya mencegah eksposur kredensial ke host jarak jauh yang telah dikompromikan. Dalam prosesnya, UAT-8837 juga menjalankan aktivitas hands-on keyboard dengan membuka cmd.exe secara langsung pada sistem korban, serta mengunduh berbagai artefak yang mendukung fase pasca-eksploitasi.

Sejumlah alat yang digunakan menunjukkan tingkat kematangan operasional yang tinggi. Di antaranya adalah GoTokenTheft untuk mencuri token akses, EarthWorm guna membangun terowongan balik ke server yang dikendalikan penyerang, serta DWAgent untuk memastikan akses jarak jauh yang persisten sekaligus melakukan rekonsiliasi Active Directory. Selain itu, kelompok ini juga memanfaatkan SharpHound, Impacket, GoExec, Rubeus, Certipy, dan alat lain yang secara khusus dirancang untuk eksploitasi, eskalasi hak akses, dan penyalahgunaan lingkungan Active Directory secara mendalam.

Peneliti Cisco Talos menyebut bahwa selama intrusi berlangsung, UAT-8837 menjalankan serangkaian perintah untuk mengekstraksi informasi sensitif dari organisasi korban. Dalam satu kasus, kelompok ini bahkan mengekstraksi pustaka berbasis DLL yang terkait langsung dengan produk milik korban. Temuan ini memunculkan kekhawatiran serius mengenai potensi trojanisasi di masa depan, yang dapat membuka peluang serangan rantai pasok maupun rekayasa balik untuk menemukan kerentanan baru pada produk tersebut.

Pengungkapan ini muncul tidak lama setelah Talos mengaitkan aktor ancaman lain yang juga terhubung dengan China, yakni UAT-7290, dengan serangan spionase siber di Asia Selatan dan Eropa Tenggara. Kelompok tersebut diketahui menggunakan keluarga malware seperti RushDrop, DriveSwitch, dan SilentRaid. Dalam beberapa tahun terakhir, meningkatnya aktivitas aktor ancaman China terhadap infrastruktur kritis telah mendorong pemerintah Barat untuk mengeluarkan berbagai peringatan resmi terkait risiko keamanan nasional.

Pekan ini, lembaga keamanan siber dan intelijen dari Australia, Jerman, Belanda, Selandia Baru, Inggris, dan Amerika Serikat secara bersama-sama mengeluarkan peringatan mengenai meningkatnya ancaman terhadap lingkungan operational technology. Panduan yang dirilis menekankan pentingnya perancangan dan pengelolaan konektivitas OT secara aman, termasuk pembatasan eksposur, sentralisasi koneksi jaringan, penggunaan protokol yang aman, penguatan batas OT, serta pemantauan dan pencatatan seluruh aktivitas koneksi secara menyeluruh.

Lembaga-lembaga tersebut menegaskan bahwa konektivitas OT yang terbuka dan tidak aman telah lama menjadi target baik bagi aktor oportunistik maupun aktor dengan kemampuan tinggi. Aktivitas ini tidak hanya melibatkan aktor negara, tetapi juga kelompok hacktivist yang memanfaatkan infrastruktur OT yang terekspos. Kondisi ini menegaskan bahwa ancaman terhadap infrastruktur kritis bersifat nyata dan terus berkembang, menuntut kesiapsiagaan yang lebih serius dari organisasi dan pemerintah di seluruh dunia.

Pemadaman Internet Massal di Iran Memutus 90 Juta Warga Saat Protes Memuncak

Pemadaman internet massal di Iran telah memutus akses komunikasi digital bagi lebih dari 90 juta orang. Ketika gelombang protes semakin meluas dan korban jiwa terus bertambah, pemerintah memilih membatasi konektivitas sebagai alat pengendalian. Pesan tidak terkirim, layanan VPN lumpuh, dan warga terpaksa mencari celah komunikasi yang hanya muncul sesaat.

Salah satu warga di Teheran menggambarkan situasi ini dengan sederhana namun menyayat. Ia berdiri di dekat ponselnya, terus menyegarkan layar, hanya untuk mengirim satu kalimat pendek seperti “aku baik baik saja” atau “kamu masih di sana”. Beginilah rasanya hidup dalam pemadaman total, ketika kebebasan digital diputus di tengah ketegangan politik yang memuncak.

Cybernews berbicara dengan seorang pekerja teknologi asal Iran yang kini tinggal di luar negeri. Meski berada jauh dari tanah air, ia masih berkomunikasi rutin dengan keluarga dan rekan di Teheran serta kota lain di Iran, menyaksikan dampak pemadaman ini secara langsung melalui cerita dan potongan koneksi yang tersisa.

Pada tanggal delapan Januari, seluruh populasi Iran merasakan pemutusan konektivitas digital secara menyeluruh. Lebih dari 90 juta orang terisolasi dari dunia daring. Ketika jumlah korban tewas akibat protes dilaporkan telah melampaui lima ratus orang, pemadaman ini terus berlanjut. Situasi tersebut memunculkan pertanyaan besar tentang dampak nyata dari pemutusan internet dalam skala nasional.

Tidak seperti pemadaman listrik yang terjadi secara tiba tiba, gangguan internet datang secara perlahan. Warga di Teheran mulai merasakan tanda tanda awal sebelum koneksi benar benar hilang. Saat para demonstran berusaha mengirim pembaruan keselamatan, mereka melihat pesan berhenti di status terkirim, pesan suara gagal dikirim, gambar tidak dapat dimuat, dan aplikasi yang biasanya bisa diakses melalui VPN mendadak tidak merespons.

Menurut sumber Cybernews, koneksi terasa melemah terlebih dahulu sebelum akhirnya menghilang sepenuhnya. Pola ini menciptakan tekanan psikologis yang berat. Harapan masih ada, namun selalu runtuh. Sebelumnya, setelah serangan udara Israel ke Iran pada Juni tahun lalu, warga yang melek teknologi masih bisa mengandalkan VPN untuk bertahan. Kali ini, situasinya jauh lebih menekan.

Dalam kondisi saat ini, saluran komunikasi warga dipersempit secara sistematis. Pesan suara gagal, gambar tidak terbuka, dan layanan yang dulu stabil kini tidak bisa diandalkan. Warga menggambarkannya seperti dicekik perlahan. Mereka menyiapkan pesan lebih awal, menunggu momen koneksi singkat yang tidak bisa diprediksi, lalu mencoba mengirimnya secepat mungkin sebelum jaringan kembali lenyap.

Istilah pemadaman sering kali menyesatkan, seolah koneksi sebelumnya berada dalam kondisi normal. Faktanya, warga Iran telah lama hidup dengan akses internet yang dibatasi. Pada tahun dua ribu sembilan belas, pemadaman diberlakukan setelah kenaikan harga bahan bakar yang memicu protes luas. Amnesty International menilai langkah tersebut sebagai upaya menutupi jumlah pembunuhan di luar hukum.

Kemudian pada musim gugur dua ribu dua puluh dua, setelah kematian Mahsa Amini di tahanan polisi akibat penegakan aturan hijab, pemerintah memberlakukan jam malam digital. Akses internet diputus pada jam jam tertentu, terutama di wilayah Kurdistan di Iran barat. Sejak itu, ketidakstabilan menjadi kondisi permanen.

Menurut sumber Cybernews, pengalaman hidup dengan internet di Iran selama bertahun tahun adalah rasa tidak percaya. Tidak ada yang benar benar stabil atau dapat diandalkan. Namun, pemadaman kali ini terasa berbeda. Bebannya lebih berat, kelelahan semakin dalam, dan kemarahan bercampur dengan rasa pasrah.

Sumber tersebut menjelaskan bahwa isolasi kini digunakan sebagai alat tekanan yang lebih halus namun efektif. Pemutusan koneksi tidak lagi sekadar mematikan jaringan secara total, melainkan dilakukan dengan cara yang lebih terarah. Koneksi diperlambat, diganggu, atau dibuat tidak stabil secara selektif, sehingga jauh lebih sulit untuk diakali.

Pendekatan ini menunjukkan peningkatan kemampuan teknis dalam membungkam komunikasi publik. Bukan lagi soal hidup atau mati koneksi, melainkan tentang mengendalikan ritme, ketidakpastian, dan kelelahan psikologis warga. Dalam konteks ini, pemadaman internet di Iran bukan sekadar gangguan teknis, melainkan instrumen kekuasaan yang berdampak langsung pada kehidupan manusia.

Di tengah keterputusan digital, warga Iran terus berjuang mempertahankan satu hal yang tersisa, yaitu kemampuan untuk saling memberi kabar bahwa mereka masih ada, masih hidup, dan belum sepenuhnya dibungkam.

Jutaan Pengguna Instagram Panik, Klaim Kebocoran 17,5 Juta Data Ternyata Data Lama yang Didaur Ulang

Jutaan pengguna Instagram dibuat panik setelah menerima email mendadak yang meminta mereka melakukan reset kata sandi. Bagi banyak orang, pesan tersebut langsung diasosiasikan dengan kabar kebocoran data Instagram yang ramai dibicarakan pekan lalu. Isu ini cepat menyebar, memicu kekhawatiran bahwa data pribadi pengguna telah jatuh ke tangan pihak tidak bertanggung jawab.

Kepanikan itu bermula dari sebuah unggahan di Breach Forums, forum peretas yang dikenal sebagai tempat jual beli data curian. Dalam unggahan tersebut, seorang penjual mengklaim memiliki dump data bertajuk Instagram dot com 17M Global Users 2024 API Leak. Ia menyebut dataset tersebut berisi informasi 17,5 juta pengguna Instagram yang dikemas dalam format JSON dan TXT. Klaim ini diperkuat dengan narasi bahwa data yang bocor mencakup nama lengkap, alamat email, nomor telepon, hingga sebagian informasi lokasi.

Tak butuh waktu lama hingga klaim tersebut menyebar luas. Banyak pengguna yang menerima email reset kata sandi merasa bahwa akun mereka menjadi bagian dari kebocoran besar tersebut. Namun pada Sabtu, Meta selaku induk perusahaan Instagram memberikan klarifikasi resmi dan membantah adanya pelanggaran sistem.

Meta menjelaskan bahwa email reset kata sandi itu dipicu oleh masalah pada layanan pihak ketiga yang memungkinkan pihak eksternal mengirim permintaan reset password ke sejumlah akun. Masalah tersebut, menurut Meta, telah diperbaiki dan tidak menyebabkan pencurian data pribadi pengguna. Instagram juga menegaskan bahwa sistem mereka tidak diretas dan akun pengguna tetap aman. Dalam pernyataan resminya di platform X, Instagram meminta pengguna untuk mengabaikan email tersebut dan menyampaikan permintaan maaf atas kebingungan yang terjadi.

Sementara itu, tim peneliti dari Cybernews melakukan penelusuran independen terhadap dataset yang dijual di Breach Forums. Hasilnya cukup jelas. Klaim kebocoran data Instagram terbaru dinyatakan tidak benar. Data yang ditawarkan ternyata bukan hasil peretasan baru, melainkan data lama yang didaur ulang.

Menurut Cybernews, dataset tersebut identik dengan kebocoran Doxagram, sebuah situs peretas yang muncul pada tahun 2017 dan menjual data hasil scraping dari sekitar enam juta akun Instagram. Pada masa itu, seorang peneliti keamanan dari Kaspersky Lab, Ido Naor, pernah melaporkan adanya celah pada API Instagram, khususnya di bagian reset kata sandi. Celah tersebut dimanfaatkan untuk mengumpulkan data akun berprofil tinggi, termasuk nomor telepon dan alamat email.

Peneliti Cybernews menegaskan bahwa data yang kini diklaim sebagai kebocoran 2024 sejatinya adalah versi ulang dari kebocoran tahun 2022, yang juga merupakan hasil repackaging data dari tahun 2017. Seluruh struktur data, urutan akun, hingga field informasi yang tersedia menunjukkan kecocokan sempurna. Informasi sensitif di dalamnya pun berasal dari data lama, sementara sisanya merupakan data publik seperti username, nama tampilan, dan ID akun.

Dengan kata lain, tidak ada kebocoran data Instagram baru seperti yang diklaim di forum peretas tersebut. Yang terjadi adalah pengemasan ulang data lama dengan narasi baru untuk menciptakan kepanikan dan menarik pembeli. Meski demikian, insiden ini menjadi pengingat bahwa isu keamanan digital sering kali dimanfaatkan oleh aktor ancaman untuk memanipulasi persepsi publik.

Bagi pengguna Instagram, kejadian ini menegaskan pentingnya bersikap kritis terhadap kabar kebocoran data yang beredar. Tidak semua klaim di forum peretas mencerminkan ancaman nyata. Namun di sisi lain, kewaspadaan tetap diperlukan, karena praktik daur ulang data lama menunjukkan bahwa jejak digital yang pernah bocor dapat terus dieksploitasi selama bertahun tahun.

Backdoor di Ekstensi Resmi: Rekonstruksi Peretasan Trust Wallet dan Jejak Shai-Hulud

Dalam dunia kripto yang bergerak cepat, kabar dari Trust Wallet pada Selasa kemarin menjadi pengingat keras tentang rapuhnya rantai keamanan digital. Perusahaan mengungkap bahwa iterasi kedua serangan rantai pasok Shai-Hulud (atau Sha1-Hulud) pada November 2025 diduga kuat menjadi dalang di balik peretasan ekstensi Google Chrome mereka. Insiden ini berujung pada pencurian aset senilai kurang lebih $8,5 juta. 

Dalam laporan analisis pasca-kejadian, Trust Wallet memaparkan bagaimana rahasia GitHub milik developer mereka terekspos. Kebocoran ini membuka jalan bagi penyerang untuk mengakses kode sumber ekstensi dan, yang paling krusial, kunci API Chrome Web Store (CWS). Akses inilah yang menjadi titik masuk utama serangan.

Dengan kunci API tersebut, pelaku memperoleh kontrol penuh atas CWS, memungkinkan mereka mengunggah build baru secara langsung tanpa melalui prosedur rilis standar Trust Wallet yang biasanya mensyaratkan persetujuan dan tinjauan manual internal. Dari sinilah bencana dimulai. Penyerang kemudian mendaftarkan domain palsu “metrics-trustwallet[.]com” dan mendistribusikan versi trojan ekstensi melalui subdomain “api.metrics-trustwallet[.]com”. 

Versi berbahaya ini dilengkapi backdoor yang dirancang untuk mencuri mnemonic phrase atau frasa pemulihan dompet pengguna. Analisis lanjutan dari firma keamanan siber Koi mengungkap bahwa kode jahat tersebut tidak hanya aktif saat pengguna mengimpor seed phrase, tetapi juga terpicu setiap kali dompet dibuka (unlock), baik menggunakan kata sandi maupun biometrik.

Kerentanan ini bersifat menyeluruh. Dompet yang telah digunakan selama berbulan-bulan maupun yang baru sekali dibuka setelah pembaruan ke versi 2.68 sama-sama terdampak. Lebih parah lagi, kode tersebut mengiterasi dan mengeksfiltrasi data dari seluruh dompet yang dikonfigurasi dalam satu akun pengguna, bukan hanya dompet yang sedang aktif. “Jika Anda memiliki banyak dompet, semuanya dikompromikan,” tegas peneliti Koi, Oren Yomtov dan Yuval Ronen. 

Mereka juga menjelaskan bahwa seed phrase disisipkan ke dalam bidang errorMessage di data telemetri yang tampak normal, sebuah teknik penyamaran yang berpotensi lolos dari tinjauan kode sekilas. Pelacakan infrastruktur serangan mengarah ke penyedia hosting Stark Industries Solutions di IP 138.124.70.40, yang dikenal sebagai penyedia bulletproof hosting dengan rekam jejak mendukung aktivitas kriminal siber dan operasi siber yang didukung negara.

Indikasi kuat keterkaitan dengan kampanye Shai-Hulud sebelumnya muncul saat query langsung ke server penyerang menghasilkan respons “He who controls the spice controls the universe,” kutipan ikonik dari Dune yang juga muncul pada insiden npm Shai-Hulud terdahulu. Bukti waktu semakin menegaskan kesengajaan serangan ini: infrastruktur telah disiapkan sejak 8 Desember, lebih dari dua minggu sebelum pembaruan jahat didorong ke pasar pada 24 Desember 2025. “Ini bukan aksi spontan. Ini direncanakan,” tulis laporan Koi. 

Puncak insiden ini membuat Trust Wallet mendesak sekitar satu juta pengguna ekstensi Chrome untuk segera memperbarui ke versi 2.69 yang telah diamankan. Total kerugian mencapai sekitar $8,5 juta, diambil dari 2.520 alamat dompet dan dialirkan ke sedikitnya 17 dompet yang dikendalikan penyerang. Sebagai bentuk tanggung jawab, Trust Wallet membuka proses klaim penggantian bagi korban terdampak dengan mekanisme verifikasi ketat untuk mencegah penyalahgunaan. 

Ancaman sendiri belum berhenti. Pengungkapan ini beriringan dengan kemunculan Shai-Hulud 3.0, yang menurut peneliti Upwind, Guy Gilad dan Moshe Hassan, telah mengalami peningkatan signifikan pada teknik pengaburan serta kompatibilitas Windows, dengan fokus tetap pada pencurian rahasia dari mesin developer. Trust Wallet menyatakan telah memperketat pemantauan dan kontrol pada proses rilis mereka, sembari menegaskan bahwa serangan Sha1-Hulud adalah ancaman luas terhadap rantai pasok perangkat lunak industri. 

Hal ini menjadi pelajaran mahal bahwa tidak ada organisasi yang benar-benar kebal. Dalam lanskap digital yang semakin kompleks, kewaspadaan berlapisbaik di sisi penyedia layanan maupun pengguna akhir bukan lagi pilihan, melainkan keharusan.

Nigeria Tangkap Otak Phishing RaccoonO365, Skema PhaaS yang Menyerang Korporasi Global

Otoritas Nigeria mengumumkan keberhasilan mereka dalam menangkap tiga tersangka penipuan internet kelas atas yang diduga terlibat dalam serangkaian serangan phishing terhadap perusahaan-perusahaan besar di berbagai negara. Salah satu tersangka utama disebut sebagai pengembang inti di balik RaccoonO365, sebuah skema phishing-as-a-service (PhaaS) yang telah lama menjadi perhatian komunitas keamanan siber global.

Penangkapan ini diumumkan oleh Nigeria Police Force National Cybercrime Centre (NPF–NCCC), yang menyebutkan bahwa proses investigasi dilakukan melalui kerja sama erat dengan Microsoft dan Federal Bureau of Investigation (FBI). Dari hasil penyelidikan tersebut, aparat mengidentifikasi Okitipi Samuel, yang juga dikenal dengan nama Moses Felix, sebagai aktor utama sekaligus pengembang infrastruktur phishing yang digunakan dalam operasi ini.

Menurut pernyataan resmi kepolisian Nigeria, tersangka mengelola sebuah kanal Telegram yang digunakan untuk menjual tautan phishing kepada pelaku kejahatan siber lain dengan imbalan mata uang kripto. Selain itu, ia juga diketahui meng-host portal login palsu yang meniru halaman autentikasi Microsoft 365 menggunakan layanan Cloudflare, dengan memanfaatkan kredensial email yang dicuri atau diperoleh secara ilegal.

Dalam rangkaian penggeledahan yang dilakukan di kediaman para tersangka, aparat menyita sejumlah barang bukti digital, termasuk laptop, perangkat seluler, dan peralatan elektronik lain yang diduga kuat digunakan dalam aktivitas kejahatan tersebut. Dua individu lain yang turut ditangkap disebut tidak memiliki keterlibatan langsung dalam pengembangan maupun pengoperasian layanan PhaaS RaccoonO365, meskipun tetap diamankan dalam proses penyelidikan.

RaccoonO365 sendiri merupakan nama yang diberikan pada kelompok ancaman bermotif finansial yang mengembangkan toolkit phishing untuk mencuri kredensial. Toolkit ini memungkinkan pelaku kejahatan membuat halaman phishing yang menyerupai tampilan login Microsoft 365, sehingga korban tidak menyadari bahwa mereka sedang menyerahkan informasi sensitif. Microsoft melacak aktivitas kelompok ini dengan kode Storm-2246.

Pada September 2025, Microsoft mengungkapkan bahwa mereka bekerja sama dengan Cloudflare untuk mengambil alih 338 domain yang digunakan oleh infrastruktur RaccoonO365. Infrastruktur phishing ini diperkirakan telah menyebabkan pencurian setidaknya 5.000 kredensial Microsoft dari 94 negara sejak Juli 2024, menunjukkan skala operasi yang sangat luas dan terorganisir.

NPF juga menjelaskan bahwa RaccoonO365 digunakan untuk membangun portal login Microsoft palsu yang secara khusus menargetkan institusi korporasi, keuangan, dan pendidikan. Kredensial yang berhasil dicuri kemudian dimanfaatkan untuk mendapatkan akses ilegal ke akun email Microsoft 365 milik organisasi-organisasi tersebut. Investigasi gabungan menemukan banyak insiden akses tidak sah sepanjang Januari hingga September 2025, yang berawal dari pesan phishing dengan tampilan autentikasi Microsoft yang dibuat semirip mungkin dengan halaman asli.

Serangan-serangan ini berdampak serius, mulai dari business email compromise, kebocoran data, hingga kerugian finansial lintas negara. Kepolisian Nigeria menegaskan bahwa aktivitas tersebut telah merugikan banyak organisasi di berbagai yurisdiksi dan memperkuat urgensi kolaborasi internasional dalam penanganan kejahatan siber.

Di sisi lain, Microsoft dan Health-ISAC juga telah mengajukan gugatan perdata pada September terhadap Joshua Ogundipe dan empat pihak lain yang masih berstatus anonim. Gugatan tersebut menuduh para terdakwa mengoperasikan bisnis kejahatan siber dengan menjual, mendistribusikan, membeli, dan menerapkan toolkit phishing guna mendukung serangan spear-phishing tingkat lanjut dan pencurian data sensitif.

Data yang dicuri melalui operasi ini tidak berhenti pada satu kejahatan saja. Informasi tersebut digunakan kembali untuk mendukung kejahatan lanjutan, termasuk penipuan finansial, business email compromise, serangan ransomware, hingga pelanggaran hak kekayaan intelektual.

Perkembangan ini muncul di tengah meningkatnya tindakan hukum terhadap operator layanan PhaaS lainnya. Google baru-baru ini mengajukan gugatan terhadap pengelola Darcula PhaaS, dengan menyebut warga negara China, Yucheng Chang, sebagai pemimpin kelompok tersebut bersama 24 anggota lainnya. Google berupaya mendapatkan perintah pengadilan untuk menyita infrastruktur server yang digunakan dalam gelombang besar serangan smishing yang menyamar sebagai lembaga pemerintah Amerika Serikat.

Gugatan tersebut pertama kali dilaporkan oleh NBC News pada 17 Desember 2025, dan terjadi hanya sedikit lebih dari sebulan setelah Google juga menggugat kelompok peretas berbasis di China yang terkait dengan layanan PhaaS lain bernama Lighthouse. Layanan tersebut diyakini telah berdampak pada lebih dari satu juta pengguna di 120 negara.

Rangkaian penegakan hukum ini menegaskan bahwa phishing-as-a-service kini menjadi ancaman global yang ditangani secara serius oleh perusahaan teknologi dan aparat penegak hukum lintas negara. Kolaborasi internasional menjadi kunci utama dalam membongkar ekosistem kejahatan siber yang semakin terstruktur dan berorientasi bisnis.