.png)
Sebuah kampanye serangan siber berskala besar yang menargetkan lingkungan Microsoft 365 di Israel dan Uni Emirat Arab (UEA) terdeteksi tengah berlangsung, dengan indikasi kuat keterlibatan aktor ancaman yang memiliki keterkaitan dengan Iran. Aktivitas ini muncul di tengah meningkatnya ketegangan geopolitik di kawasan Timur Tengah, dan dinilai sebagai bagian dari upaya pengumpulan intelijen strategis oleh aktor negara.
Halini diungkap oleh Check Point Research, yang mengidentifikasi bahwa serangan dilakukan dalam tiga gelombang utama pada 3 Maret, 13 Maret, dan 23 Maret 2026. Menyatakan bahwa serangan ini menggunakan teknik password spraying, sebuah metode brute-force yang mencoba sejumlah kecil kata sandi umum terhadap banyak akun untuk menghindari deteksi berbasis threshold.
.png)
Pada tahap awal, penyerang melakukan pemindaian intensif terhadap ratusan organisasi, dengan fokus utama pada entitas yang berlokasi di Israel dan UEA. Aktivitas ini dijalankan melalui jaringan anonim seperti Tor, khususnya melalui exit nodes yang terus berubah untuk menghindari pemblokiran berbasis alamat IP. Selama proses ini, penyerang menyamarkan identitas mereka dengan menggunakan User-Agent yang meniru browser lawas seperti Internet Explorer 10, sebuah taktik yang dirancang untuk menghindari sistem deteksi modern yang lebih sensitif terhadap pola akses mencurigakan.
Ketika kredensial yang valid berhasil ditemukan, serangan memasuki fase infiltrasi. Dalam tahap ini, pelaku menggunakan alamat IP dari layanan VPN komersial seperti Windscribe dan NordVPN, yang dikonfigurasi agar tampak berasal dari lokasi geografis Israel. Pendekatan ini memungkinkan mereka untuk melewati pembatasan berbasis lokasi atau geo-restriction yang sering diterapkan dalam kebijakan keamanan organisasi.
Setelah mendapatkan akses, penyerang melanjutkan ke tahap eksfiltrasi dengan memanfaatkan kredensial yang sah untuk mengakses data sensitif, termasuk konten email pribadi. Dalam sejumlah kasus terbatas, aktivitas ini berujung pada pencurian data dari lingkungan yang telah dikompromikan. Namun, skala dan pola serangan menunjukkan bahwa tujuan utama kampanye ini lebih berfokus pada pengumpulan intelijen dibandingkan sabotase langsung.
Serangan ini sama seperti yang pernah dilakukan oleh hacktivist kepada Iran yang di picu oleh perang Amerika-Israel bernama epic fury pada 28 Februari 2026
Microsoft mengaitkan aktivitas ini dengan kelompok ancaman negara yang dikenal sebagai Peach Sandstorm. Grup ini sebelumnya telah menargetkan sektor-sektor strategis seperti satelit, pertahanan, dan farmasi di berbagai wilayah dunia. Berdasarkan profil target dan pola aktivitas pasca-kompromi, Microsoft menilai bahwa akses awal yang diperoleh melalui kampanye ini kemungkinan digunakan untuk mendukung kepentingan intelijen negara Iran.
Menariknya, pola aktivitas menunjukkan bahwa puncak serangan sering terjadi antara pukul 04.00 hingga 11.00 UTC. Pola waktu ini dapat mencerminkan strategi operasional tertentu, baik untuk menghindari jam sibuk sistem keamanan maupun untuk menyesuaikan dengan zona waktu target.
Salah satu tantangan utama dalam mendeteksi dan merespons kampanye ini adalah tidak adanya indikator kompromi (IOC) yang statis. Penggunaan infrastruktur berbasis Tor dan rotasi IP yang agresif membuat pendekatan berbasis blacklist menjadi kurang efektif. Oleh karena itu, pendekatan deteksi berbasis perilaku menjadi krusial, termasuk analisis terhadap pola login yang tidak biasa, lonjakan traffic dari jaringan anonim, serta aktivitas enumerasi yang mencurigakan.
Microsoft mencatat bahwa dalam kasus di mana autentikasi berhasil dilakukan, aktor ancaman menggunakan kombinasi alat publik dan kustom untuk melakukan eksplorasi jaringan, mempertahankan akses (persistence), dan bergerak lateral di dalam sistem korban. Meskipun hanya sebagian kecil insiden yang berujung pada eksfiltrasi data, potensi risiko dari aktivitas pasca-kompromi tetap signifikan, terutama jika menyasar infrastruktur kritikal atau data sensitif.
Dalam konteks yang lebih luas, kampanye ini mencerminkan evolusi taktik aktor negara dalam operasi siber. Alih-alih mengandalkan eksploitasi zero-day yang kompleks, pendekatan seperti password spraying menawarkan efektivitas tinggi dengan kompleksitas relatif rendah, terutama ketika dikombinasikan dengan teknik penghindaran deteksi yang canggih.
Microsoft menyatakan bahwa mereka secara langsung memberi notifikasi kepada pelanggan yang menjadi target atau korban kampanye ini, serta menyediakan panduan untuk mengamankan akun dan infrastruktur mereka. Langkah ini menjadi bagian dari upaya yang lebih luas untuk meningkatkan kesadaran terhadap tradecraft terbaru yang digunakan oleh aktor ancaman negara.
Dengan meningkatnya volume aktivitas dan persistensi upaya akses terhadap target, organisasi yang menggunakan Microsoft 365 diimbau untuk memperkuat postur keamanan mereka. Ini mencakup penerapan autentikasi multi-faktor, pemantauan log secara aktif, serta deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola serangan seperti password spraying.
Kampanye ini memperlihatkan bahwa dalam tipe ancaman saat ini, serangan tidak selalu bergantung pada kerentanan teknis tingkat tinggi. Kredensial yang lemah dan praktik keamanan yang tidak konsisten tetap menjadi titik masuk utama bagi aktor ancaman yang terorganisir dengan baik dan memiliki sumber daya besar.
Baca Juga: