Pemadaman Internet Massal di Iran Memutus 90 Juta Warga Saat Protes Memuncak

Pemadaman internet massal di Iran telah memutus akses komunikasi digital bagi lebih dari 90 juta orang. Ketika gelombang protes semakin meluas dan korban jiwa terus bertambah, pemerintah memilih membatasi konektivitas sebagai alat pengendalian. Pesan tidak terkirim, layanan VPN lumpuh, dan warga terpaksa mencari celah komunikasi yang hanya muncul sesaat.

Salah satu warga di Teheran menggambarkan situasi ini dengan sederhana namun menyayat. Ia berdiri di dekat ponselnya, terus menyegarkan layar, hanya untuk mengirim satu kalimat pendek seperti “aku baik baik saja” atau “kamu masih di sana”. Beginilah rasanya hidup dalam pemadaman total, ketika kebebasan digital diputus di tengah ketegangan politik yang memuncak.

Cybernews berbicara dengan seorang pekerja teknologi asal Iran yang kini tinggal di luar negeri. Meski berada jauh dari tanah air, ia masih berkomunikasi rutin dengan keluarga dan rekan di Teheran serta kota lain di Iran, menyaksikan dampak pemadaman ini secara langsung melalui cerita dan potongan koneksi yang tersisa.

Pada tanggal delapan Januari, seluruh populasi Iran merasakan pemutusan konektivitas digital secara menyeluruh. Lebih dari 90 juta orang terisolasi dari dunia daring. Ketika jumlah korban tewas akibat protes dilaporkan telah melampaui lima ratus orang, pemadaman ini terus berlanjut. Situasi tersebut memunculkan pertanyaan besar tentang dampak nyata dari pemutusan internet dalam skala nasional.

Tidak seperti pemadaman listrik yang terjadi secara tiba tiba, gangguan internet datang secara perlahan. Warga di Teheran mulai merasakan tanda tanda awal sebelum koneksi benar benar hilang. Saat para demonstran berusaha mengirim pembaruan keselamatan, mereka melihat pesan berhenti di status terkirim, pesan suara gagal dikirim, gambar tidak dapat dimuat, dan aplikasi yang biasanya bisa diakses melalui VPN mendadak tidak merespons.

Menurut sumber Cybernews, koneksi terasa melemah terlebih dahulu sebelum akhirnya menghilang sepenuhnya. Pola ini menciptakan tekanan psikologis yang berat. Harapan masih ada, namun selalu runtuh. Sebelumnya, setelah serangan udara Israel ke Iran pada Juni tahun lalu, warga yang melek teknologi masih bisa mengandalkan VPN untuk bertahan. Kali ini, situasinya jauh lebih menekan.

Dalam kondisi saat ini, saluran komunikasi warga dipersempit secara sistematis. Pesan suara gagal, gambar tidak terbuka, dan layanan yang dulu stabil kini tidak bisa diandalkan. Warga menggambarkannya seperti dicekik perlahan. Mereka menyiapkan pesan lebih awal, menunggu momen koneksi singkat yang tidak bisa diprediksi, lalu mencoba mengirimnya secepat mungkin sebelum jaringan kembali lenyap.

Istilah pemadaman sering kali menyesatkan, seolah koneksi sebelumnya berada dalam kondisi normal. Faktanya, warga Iran telah lama hidup dengan akses internet yang dibatasi. Pada tahun dua ribu sembilan belas, pemadaman diberlakukan setelah kenaikan harga bahan bakar yang memicu protes luas. Amnesty International menilai langkah tersebut sebagai upaya menutupi jumlah pembunuhan di luar hukum.

Kemudian pada musim gugur dua ribu dua puluh dua, setelah kematian Mahsa Amini di tahanan polisi akibat penegakan aturan hijab, pemerintah memberlakukan jam malam digital. Akses internet diputus pada jam jam tertentu, terutama di wilayah Kurdistan di Iran barat. Sejak itu, ketidakstabilan menjadi kondisi permanen.

Menurut sumber Cybernews, pengalaman hidup dengan internet di Iran selama bertahun tahun adalah rasa tidak percaya. Tidak ada yang benar benar stabil atau dapat diandalkan. Namun, pemadaman kali ini terasa berbeda. Bebannya lebih berat, kelelahan semakin dalam, dan kemarahan bercampur dengan rasa pasrah.

Sumber tersebut menjelaskan bahwa isolasi kini digunakan sebagai alat tekanan yang lebih halus namun efektif. Pemutusan koneksi tidak lagi sekadar mematikan jaringan secara total, melainkan dilakukan dengan cara yang lebih terarah. Koneksi diperlambat, diganggu, atau dibuat tidak stabil secara selektif, sehingga jauh lebih sulit untuk diakali.

Pendekatan ini menunjukkan peningkatan kemampuan teknis dalam membungkam komunikasi publik. Bukan lagi soal hidup atau mati koneksi, melainkan tentang mengendalikan ritme, ketidakpastian, dan kelelahan psikologis warga. Dalam konteks ini, pemadaman internet di Iran bukan sekadar gangguan teknis, melainkan instrumen kekuasaan yang berdampak langsung pada kehidupan manusia.

Di tengah keterputusan digital, warga Iran terus berjuang mempertahankan satu hal yang tersisa, yaitu kemampuan untuk saling memberi kabar bahwa mereka masih ada, masih hidup, dan belum sepenuhnya dibungkam.

Jutaan Pengguna Instagram Panik, Klaim Kebocoran 17,5 Juta Data Ternyata Data Lama yang Didaur Ulang

Jutaan pengguna Instagram dibuat panik setelah menerima email mendadak yang meminta mereka melakukan reset kata sandi. Bagi banyak orang, pesan tersebut langsung diasosiasikan dengan kabar kebocoran data Instagram yang ramai dibicarakan pekan lalu. Isu ini cepat menyebar, memicu kekhawatiran bahwa data pribadi pengguna telah jatuh ke tangan pihak tidak bertanggung jawab.

Kepanikan itu bermula dari sebuah unggahan di Breach Forums, forum peretas yang dikenal sebagai tempat jual beli data curian. Dalam unggahan tersebut, seorang penjual mengklaim memiliki dump data bertajuk Instagram dot com 17M Global Users 2024 API Leak. Ia menyebut dataset tersebut berisi informasi 17,5 juta pengguna Instagram yang dikemas dalam format JSON dan TXT. Klaim ini diperkuat dengan narasi bahwa data yang bocor mencakup nama lengkap, alamat email, nomor telepon, hingga sebagian informasi lokasi.

Tak butuh waktu lama hingga klaim tersebut menyebar luas. Banyak pengguna yang menerima email reset kata sandi merasa bahwa akun mereka menjadi bagian dari kebocoran besar tersebut. Namun pada Sabtu, Meta selaku induk perusahaan Instagram memberikan klarifikasi resmi dan membantah adanya pelanggaran sistem.

Meta menjelaskan bahwa email reset kata sandi itu dipicu oleh masalah pada layanan pihak ketiga yang memungkinkan pihak eksternal mengirim permintaan reset password ke sejumlah akun. Masalah tersebut, menurut Meta, telah diperbaiki dan tidak menyebabkan pencurian data pribadi pengguna. Instagram juga menegaskan bahwa sistem mereka tidak diretas dan akun pengguna tetap aman. Dalam pernyataan resminya di platform X, Instagram meminta pengguna untuk mengabaikan email tersebut dan menyampaikan permintaan maaf atas kebingungan yang terjadi.

Sementara itu, tim peneliti dari Cybernews melakukan penelusuran independen terhadap dataset yang dijual di Breach Forums. Hasilnya cukup jelas. Klaim kebocoran data Instagram terbaru dinyatakan tidak benar. Data yang ditawarkan ternyata bukan hasil peretasan baru, melainkan data lama yang didaur ulang.

Menurut Cybernews, dataset tersebut identik dengan kebocoran Doxagram, sebuah situs peretas yang muncul pada tahun 2017 dan menjual data hasil scraping dari sekitar enam juta akun Instagram. Pada masa itu, seorang peneliti keamanan dari Kaspersky Lab, Ido Naor, pernah melaporkan adanya celah pada API Instagram, khususnya di bagian reset kata sandi. Celah tersebut dimanfaatkan untuk mengumpulkan data akun berprofil tinggi, termasuk nomor telepon dan alamat email.

Peneliti Cybernews menegaskan bahwa data yang kini diklaim sebagai kebocoran 2024 sejatinya adalah versi ulang dari kebocoran tahun 2022, yang juga merupakan hasil repackaging data dari tahun 2017. Seluruh struktur data, urutan akun, hingga field informasi yang tersedia menunjukkan kecocokan sempurna. Informasi sensitif di dalamnya pun berasal dari data lama, sementara sisanya merupakan data publik seperti username, nama tampilan, dan ID akun.

Dengan kata lain, tidak ada kebocoran data Instagram baru seperti yang diklaim di forum peretas tersebut. Yang terjadi adalah pengemasan ulang data lama dengan narasi baru untuk menciptakan kepanikan dan menarik pembeli. Meski demikian, insiden ini menjadi pengingat bahwa isu keamanan digital sering kali dimanfaatkan oleh aktor ancaman untuk memanipulasi persepsi publik.

Bagi pengguna Instagram, kejadian ini menegaskan pentingnya bersikap kritis terhadap kabar kebocoran data yang beredar. Tidak semua klaim di forum peretas mencerminkan ancaman nyata. Namun di sisi lain, kewaspadaan tetap diperlukan, karena praktik daur ulang data lama menunjukkan bahwa jejak digital yang pernah bocor dapat terus dieksploitasi selama bertahun tahun.

Backdoor di Ekstensi Resmi: Rekonstruksi Peretasan Trust Wallet dan Jejak Shai-Hulud

Dalam dunia kripto yang bergerak cepat, kabar dari Trust Wallet pada Selasa kemarin menjadi pengingat keras tentang rapuhnya rantai keamanan digital. Perusahaan mengungkap bahwa iterasi kedua serangan rantai pasok Shai-Hulud (atau Sha1-Hulud) pada November 2025 diduga kuat menjadi dalang di balik peretasan ekstensi Google Chrome mereka. Insiden ini berujung pada pencurian aset senilai kurang lebih $8,5 juta. 

Dalam laporan analisis pasca-kejadian, Trust Wallet memaparkan bagaimana rahasia GitHub milik developer mereka terekspos. Kebocoran ini membuka jalan bagi penyerang untuk mengakses kode sumber ekstensi dan, yang paling krusial, kunci API Chrome Web Store (CWS). Akses inilah yang menjadi titik masuk utama serangan.

Dengan kunci API tersebut, pelaku memperoleh kontrol penuh atas CWS, memungkinkan mereka mengunggah build baru secara langsung tanpa melalui prosedur rilis standar Trust Wallet yang biasanya mensyaratkan persetujuan dan tinjauan manual internal. Dari sinilah bencana dimulai. Penyerang kemudian mendaftarkan domain palsu “metrics-trustwallet[.]com” dan mendistribusikan versi trojan ekstensi melalui subdomain “api.metrics-trustwallet[.]com”. 

Versi berbahaya ini dilengkapi backdoor yang dirancang untuk mencuri mnemonic phrase atau frasa pemulihan dompet pengguna. Analisis lanjutan dari firma keamanan siber Koi mengungkap bahwa kode jahat tersebut tidak hanya aktif saat pengguna mengimpor seed phrase, tetapi juga terpicu setiap kali dompet dibuka (unlock), baik menggunakan kata sandi maupun biometrik.

Kerentanan ini bersifat menyeluruh. Dompet yang telah digunakan selama berbulan-bulan maupun yang baru sekali dibuka setelah pembaruan ke versi 2.68 sama-sama terdampak. Lebih parah lagi, kode tersebut mengiterasi dan mengeksfiltrasi data dari seluruh dompet yang dikonfigurasi dalam satu akun pengguna, bukan hanya dompet yang sedang aktif. “Jika Anda memiliki banyak dompet, semuanya dikompromikan,” tegas peneliti Koi, Oren Yomtov dan Yuval Ronen. 

Mereka juga menjelaskan bahwa seed phrase disisipkan ke dalam bidang errorMessage di data telemetri yang tampak normal, sebuah teknik penyamaran yang berpotensi lolos dari tinjauan kode sekilas. Pelacakan infrastruktur serangan mengarah ke penyedia hosting Stark Industries Solutions di IP 138.124.70.40, yang dikenal sebagai penyedia bulletproof hosting dengan rekam jejak mendukung aktivitas kriminal siber dan operasi siber yang didukung negara.

Indikasi kuat keterkaitan dengan kampanye Shai-Hulud sebelumnya muncul saat query langsung ke server penyerang menghasilkan respons “He who controls the spice controls the universe,” kutipan ikonik dari Dune yang juga muncul pada insiden npm Shai-Hulud terdahulu. Bukti waktu semakin menegaskan kesengajaan serangan ini: infrastruktur telah disiapkan sejak 8 Desember, lebih dari dua minggu sebelum pembaruan jahat didorong ke pasar pada 24 Desember 2025. “Ini bukan aksi spontan. Ini direncanakan,” tulis laporan Koi. 

Puncak insiden ini membuat Trust Wallet mendesak sekitar satu juta pengguna ekstensi Chrome untuk segera memperbarui ke versi 2.69 yang telah diamankan. Total kerugian mencapai sekitar $8,5 juta, diambil dari 2.520 alamat dompet dan dialirkan ke sedikitnya 17 dompet yang dikendalikan penyerang. Sebagai bentuk tanggung jawab, Trust Wallet membuka proses klaim penggantian bagi korban terdampak dengan mekanisme verifikasi ketat untuk mencegah penyalahgunaan. 

Ancaman sendiri belum berhenti. Pengungkapan ini beriringan dengan kemunculan Shai-Hulud 3.0, yang menurut peneliti Upwind, Guy Gilad dan Moshe Hassan, telah mengalami peningkatan signifikan pada teknik pengaburan serta kompatibilitas Windows, dengan fokus tetap pada pencurian rahasia dari mesin developer. Trust Wallet menyatakan telah memperketat pemantauan dan kontrol pada proses rilis mereka, sembari menegaskan bahwa serangan Sha1-Hulud adalah ancaman luas terhadap rantai pasok perangkat lunak industri. 

Hal ini menjadi pelajaran mahal bahwa tidak ada organisasi yang benar-benar kebal. Dalam lanskap digital yang semakin kompleks, kewaspadaan berlapisbaik di sisi penyedia layanan maupun pengguna akhir bukan lagi pilihan, melainkan keharusan.

Nigeria Tangkap Otak Phishing RaccoonO365, Skema PhaaS yang Menyerang Korporasi Global

Otoritas Nigeria mengumumkan keberhasilan mereka dalam menangkap tiga tersangka penipuan internet kelas atas yang diduga terlibat dalam serangkaian serangan phishing terhadap perusahaan-perusahaan besar di berbagai negara. Salah satu tersangka utama disebut sebagai pengembang inti di balik RaccoonO365, sebuah skema phishing-as-a-service (PhaaS) yang telah lama menjadi perhatian komunitas keamanan siber global.

Penangkapan ini diumumkan oleh Nigeria Police Force National Cybercrime Centre (NPF–NCCC), yang menyebutkan bahwa proses investigasi dilakukan melalui kerja sama erat dengan Microsoft dan Federal Bureau of Investigation (FBI). Dari hasil penyelidikan tersebut, aparat mengidentifikasi Okitipi Samuel, yang juga dikenal dengan nama Moses Felix, sebagai aktor utama sekaligus pengembang infrastruktur phishing yang digunakan dalam operasi ini.

Menurut pernyataan resmi kepolisian Nigeria, tersangka mengelola sebuah kanal Telegram yang digunakan untuk menjual tautan phishing kepada pelaku kejahatan siber lain dengan imbalan mata uang kripto. Selain itu, ia juga diketahui meng-host portal login palsu yang meniru halaman autentikasi Microsoft 365 menggunakan layanan Cloudflare, dengan memanfaatkan kredensial email yang dicuri atau diperoleh secara ilegal.

Dalam rangkaian penggeledahan yang dilakukan di kediaman para tersangka, aparat menyita sejumlah barang bukti digital, termasuk laptop, perangkat seluler, dan peralatan elektronik lain yang diduga kuat digunakan dalam aktivitas kejahatan tersebut. Dua individu lain yang turut ditangkap disebut tidak memiliki keterlibatan langsung dalam pengembangan maupun pengoperasian layanan PhaaS RaccoonO365, meskipun tetap diamankan dalam proses penyelidikan.

RaccoonO365 sendiri merupakan nama yang diberikan pada kelompok ancaman bermotif finansial yang mengembangkan toolkit phishing untuk mencuri kredensial. Toolkit ini memungkinkan pelaku kejahatan membuat halaman phishing yang menyerupai tampilan login Microsoft 365, sehingga korban tidak menyadari bahwa mereka sedang menyerahkan informasi sensitif. Microsoft melacak aktivitas kelompok ini dengan kode Storm-2246.

Pada September 2025, Microsoft mengungkapkan bahwa mereka bekerja sama dengan Cloudflare untuk mengambil alih 338 domain yang digunakan oleh infrastruktur RaccoonO365. Infrastruktur phishing ini diperkirakan telah menyebabkan pencurian setidaknya 5.000 kredensial Microsoft dari 94 negara sejak Juli 2024, menunjukkan skala operasi yang sangat luas dan terorganisir.

NPF juga menjelaskan bahwa RaccoonO365 digunakan untuk membangun portal login Microsoft palsu yang secara khusus menargetkan institusi korporasi, keuangan, dan pendidikan. Kredensial yang berhasil dicuri kemudian dimanfaatkan untuk mendapatkan akses ilegal ke akun email Microsoft 365 milik organisasi-organisasi tersebut. Investigasi gabungan menemukan banyak insiden akses tidak sah sepanjang Januari hingga September 2025, yang berawal dari pesan phishing dengan tampilan autentikasi Microsoft yang dibuat semirip mungkin dengan halaman asli.

Serangan-serangan ini berdampak serius, mulai dari business email compromise, kebocoran data, hingga kerugian finansial lintas negara. Kepolisian Nigeria menegaskan bahwa aktivitas tersebut telah merugikan banyak organisasi di berbagai yurisdiksi dan memperkuat urgensi kolaborasi internasional dalam penanganan kejahatan siber.

Di sisi lain, Microsoft dan Health-ISAC juga telah mengajukan gugatan perdata pada September terhadap Joshua Ogundipe dan empat pihak lain yang masih berstatus anonim. Gugatan tersebut menuduh para terdakwa mengoperasikan bisnis kejahatan siber dengan menjual, mendistribusikan, membeli, dan menerapkan toolkit phishing guna mendukung serangan spear-phishing tingkat lanjut dan pencurian data sensitif.

Data yang dicuri melalui operasi ini tidak berhenti pada satu kejahatan saja. Informasi tersebut digunakan kembali untuk mendukung kejahatan lanjutan, termasuk penipuan finansial, business email compromise, serangan ransomware, hingga pelanggaran hak kekayaan intelektual.

Perkembangan ini muncul di tengah meningkatnya tindakan hukum terhadap operator layanan PhaaS lainnya. Google baru-baru ini mengajukan gugatan terhadap pengelola Darcula PhaaS, dengan menyebut warga negara China, Yucheng Chang, sebagai pemimpin kelompok tersebut bersama 24 anggota lainnya. Google berupaya mendapatkan perintah pengadilan untuk menyita infrastruktur server yang digunakan dalam gelombang besar serangan smishing yang menyamar sebagai lembaga pemerintah Amerika Serikat.

Gugatan tersebut pertama kali dilaporkan oleh NBC News pada 17 Desember 2025, dan terjadi hanya sedikit lebih dari sebulan setelah Google juga menggugat kelompok peretas berbasis di China yang terkait dengan layanan PhaaS lain bernama Lighthouse. Layanan tersebut diyakini telah berdampak pada lebih dari satu juta pengguna di 120 negara.

Rangkaian penegakan hukum ini menegaskan bahwa phishing-as-a-service kini menjadi ancaman global yang ditangani secara serius oleh perusahaan teknologi dan aparat penegak hukum lintas negara. Kolaborasi internasional menjadi kunci utama dalam membongkar ekosistem kejahatan siber yang semakin terstruktur dan berorientasi bisnis.

Google Resmi Hentikan Dark Web Report pada 2026, Ini Alasan dan Dampaknya bagi Pengguna

Google kembali melakukan penyesuaian pada layanan keamanannya. Kali ini, raksasa teknologi tersebut mengumumkan akan menghentikan fitur Dark Web Report, sebuah alat yang sebelumnya dirancang untuk membantu pengguna memantau apakah data pribadi mereka tersebar di dark web. Keputusan ini cukup mengejutkan, mengingat fitur tersebut baru diluncurkan kurang dari dua tahun lalu.

Berdasarkan pengumuman resmi, Google akan menghentikan pemindaian kebocoran data baru di dark web mulai 15 Januari 2026. Selanjutnya, fitur Dark Web Report akan sepenuhnya dinonaktifkan pada 16 Februari 2026. Setelah tanggal tersebut, layanan ini tidak lagi tersedia bagi seluruh pengguna akun Google.

Dalam dokumen dukungan resminya, Google menjelaskan bahwa meskipun Dark Web Report mampu memberikan gambaran umum terkait kebocoran data, masukan dari pengguna menunjukkan bahwa fitur tersebut belum memberikan langkah lanjutan yang benar-benar membantu. Oleh karena itu, Google memilih untuk mengalihkan fokus ke pengembangan alat keamanan lain yang dinilai lebih memberikan tindakan nyata dan jelas dalam melindungi informasi pribadi pengguna di dunia digital.

Google juga menegaskan bahwa seluruh data yang berkaitan dengan Dark Web Report akan dihapus secara permanen setelah fitur ini dipensiunkan pada Februari 2026. Namun, bagi pengguna yang ingin menghapus data mereka lebih awal, Google menyediakan opsi untuk menghapus profil pemantauan secara manual melalui halaman Dark Web Report, dengan mengedit profil pemantauan dan memilih opsi penghapusan di bagian bawah halaman.

Sebagai informasi, Dark Web Report pertama kali diperkenalkan pada Maret 2023. Fitur ini hadir sebagai respons atas meningkatnya kasus pencurian identitas akibat kebocoran data, di mana informasi sensitif sering kali diperjualbelikan di dark web. Sistem ini dirancang untuk memindai jaringan darknet dan mendeteksi data pribadi seperti nama, alamat, email, nomor telepon, hingga nomor jaminan sosial, lalu memberikan notifikasi jika data tersebut ditemukan.

Pada awal peluncurannya, Dark Web Report hanya tersedia bagi pelanggan Google One. Namun, pada Juli 2024, Google memperluas aksesnya sehingga dapat digunakan oleh seluruh pemilik akun Google, sebagai bagian dari upaya meningkatkan perlindungan keamanan digital secara lebih luas.

Seiring dengan penghentian fitur ini, Google juga mendorong pengguna untuk mengambil langkah perlindungan tambahan. Salah satunya dengan menggunakan passkey sebagai metode autentikasi multi-faktor yang lebih tahan terhadap serangan phishing. Selain itu, Google menyarankan pengguna untuk memanfaatkan fitur “Results about you” guna menghapus informasi pribadi yang muncul di hasil pencarian Google.

Penghentian Dark Web Report menandai perubahan strategi Google dalam pendekatan keamanan data. Alih-alih sekadar memberi notifikasi keberadaan data di dark web, Google kini lebih menekankan pada pencegahan, penguatan autentikasi, dan kontrol langsung atas eksposur informasi pribadi di internet. Bagi pengguna, langkah ini menjadi pengingat bahwa perlindungan data tidak hanya bergantung pada satu fitur, tetapi pada kombinasi praktik keamanan yang konsisten dan berkelanjutan.

Kali Linux 2025.4 Resmi Dirilis: Tool Hacking Baru, Dukungan Wayland Penuh, dan Update Besar NetHunter

Kali Linux 2025.4 resmi dirilis sebagai pembaruan terakhir di tahun ini, membawa serangkaian peningkatan penting yang secara langsung menyasar kebutuhan profesional keamanan siber dan ethical hacker. Rilis ini tidak hanya menambahkan tools baru untuk aktivitas red-teaming dan penetration testing, tetapi juga menghadirkan penyempurnaan signifikan pada desktop environment, peningkatan dukungan Wayland, serta pembaruan besar pada ekosistem Kali NetHunter.

Sebagai distribusi Linux yang dirancang khusus untuk aktivitas keamanan siber, Kali Linux digunakan secara luas untuk penetration testing, security assessment, riset jaringan, dan simulasi serangan. Sistem ini tersedia baik sebagai sistem operasi yang dapat diinstal penuh maupun dalam mode live, serta mendukung berbagai jenis perangkat keras, mulai dari PC dan laptop hingga Raspberry Pi dan perangkat Android melalui Kali NetHunter. Konsistensi pengembangan inilah yang membuat setiap rilis Kali selalu dinantikan oleh komunitas keamanan global.

Pada Kali Linux 2025.4, tim pengembang memperkenalkan tiga tools baru yang memperluas kapabilitas teknis penggunanya. Tool pertama adalah bpf-linker, sebuah static linker sederhana untuk BPF yang ditujukan bagi kebutuhan analisis dan pengembangan tingkat rendah. Selanjutnya ada evil-winrm-py, tool berbasis Python yang memungkinkan eksekusi perintah jarak jauh pada mesin Windows melalui protokol WinRM, sangat relevan dalam skenario post-exploitation. Tool ketiga, hexstrike-ai, merupakan MCP server yang memungkinkan agen AI menjalankan berbagai tool secara otonom, menandai semakin eratnya integrasi kecerdasan buatan dalam workflow keamanan siber.

Dari sisi antarmuka dan kenyamanan pengguna, Kali Linux 2025.4 membawa pembaruan besar pada desktop environment. GNOME kini diperbarui ke versi 49 dengan tampilan tema yang lebih segar, kehadiran pemutar video baru bernama Showtime, penataan ulang folder aplikasi, serta shortcut baru untuk membuka terminal dengan cepat. Pada rilis ini, GNOME sepenuhnya meninggalkan dukungan X11 dan beroperasi secara eksklusif di atas Wayland, sebuah langkah besar yang berdampak pada performa dan keamanan tampilan grafis.

Sebagai bagian dari peningkatan kualitas penggunaan sehari-hari, Kali menambahkan shortcut universal untuk membuka terminal menggunakan kombinasi Ctrl+Alt+T atau Win+T, menyamakan pengalaman dengan desktop environment lain yang telah lebih dulu memilikinya. KDE Plasma juga mendapatkan pembaruan ke versi 6.5, membawa peningkatan pada sistem tiling jendela, alat tangkapan layar yang lebih canggih, akses clipboard yang lebih mudah, serta pencarian fuzzy yang lebih fleksibel di KRunner. Sementara itu, Xfce kini mendukung color themes yang memungkinkan pengguna menyesuaikan warna ikon dan antarmuka dengan lebih leluasa, mendekati fleksibilitas GNOME dan KDE.

Dengan GNOME yang kini sepenuhnya berbasis Wayland, tim Kali Linux turut menambahkan dukungan penuh VM guest utilities untuk VirtualBox, VMware, dan QEMU. Langkah ini memastikan pengalaman penggunaan Kali di lingkungan virtual tetap stabil dan optimal, termasuk dalam skenario lab dan pengujian internal yang banyak digunakan oleh praktisi keamanan.

Pembaruan signifikan juga hadir pada Kali NetHunter, platform Kali untuk perangkat Android. Rilis ini memperluas dukungan perangkat, termasuk Android 16 pada Samsung Galaxy S10 dan OnePlus Nord, serta Android 15 pada Xiaomi Mi 9. Selain itu, NetHunter Terminal kembali dihadirkan dengan kompatibilitas yang diperbarui untuk Magisk versi interactive mode, sehingga sesi terminal tidak lagi tertutup saat pengguna menekan CTRL+C.

Salah satu sorotan menarik adalah hadirnya preview Wifipumpkin3 di aplikasi NetHunter. Framework ini digunakan untuk serangan rogue access point dan kini dilengkapi template phishing untuk berbagai platform populer seperti Facebook, Instagram, iCloud, dan Snapchat. Kehadiran fitur ini menegaskan fokus Kali dalam menyediakan tool realistis untuk simulasi serangan jaringan nirkabel.

Selain fitur utama, Kali Linux 2025.4 juga membawa sejumlah perubahan pendukung. Kali Live image kini hanya didistribusikan melalui BitTorrent karena ukuran file yang semakin besar, sementara beberapa mirror komunitas baru ditambahkan di Asia dan Amerika Serikat untuk meningkatkan ketersediaan unduhan. Kali Cloud dan aplikasi Kali WSL juga menerima berbagai peningkatan internal dan perbaikan reliabilitas.

Untuk mulai menggunakan Kali Linux 2025.4, pengguna dapat melakukan upgrade dari instalasi yang sudah ada atau mengunduh ISO untuk instalasi baru dan live environment. Proses upgrade dilakukan dengan memperbarui repository Kali Rolling, menjalankan pembaruan sistem, serta melakukan reboot jika diperlukan. Bagi pengguna Kali di Windows Subsystem for Linux, disarankan untuk menggunakan WSL2 agar mendapatkan pengalaman yang lebih optimal, termasuk dukungan aplikasi grafis.

Setelah proses pembaruan selesai, versi sistem dapat diverifikasi melalui informasi OS, dan seluruh perubahan lengkap tersedia dalam changelog resmi Kali Linux. Rilis 2025.4 ini menutup tahun dengan kuat, menegaskan posisi Kali Linux sebagai platform utama bagi profesional keamanan siber yang menuntut stabilitas, fitur mutakhir, dan relevansi terhadap ancaman modern.

Kali Linux Official Website: Artikel

CISA Peringatkan Eksploitasi Aktif Celah Kritis GeoServer CVE-2025-58360, Ancaman XXE Serius bagi Infrastruktur Data

Dunia keamanan siber kembali diguncang oleh temuan serius setelah U.S. Cybersecurity and Infrastructure Security Agency (CISA) secara resmi menambahkan sebuah kerentanan berdampak tinggi pada OSGeo GeoServer ke dalam Known Exploited Vulnerabilities (KEV) Catalog. Keputusan ini diambil karena adanya bukti kuat bahwa celah keamanan tersebut telah dieksploitasi secara aktif di dunia nyata, menjadikannya ancaman nyata bagi organisasi yang masih menggunakan versi rentan dari perangkat lunak ini.

Kerentanan yang dimaksud adalah CVE-2025-58360 dengan skor CVSS 8.2, yang diklasifikasikan sebagai unauthenticated XML External Entity (XXE) vulnerability. Celah ini memengaruhi seluruh versi GeoServer hingga 2.25.5, serta rentang versi 2.26.0 sampai 2.26.1. Kerentanan tersebut telah diperbaiki dalam rilis 2.25.6, 2.26.2, 2.27.0, 2.28.0, dan 2.28.1. Menariknya, temuan ini dilaporkan oleh platform penemuan kerentanan berbasis kecerdasan buatan, XBOW, yang menunjukkan peran AI yang semakin signifikan dalam riset keamanan siber modern.

Menurut pernyataan resmi CISA, masalah ini muncul akibat pembatasan yang tidak tepat terhadap referensi entitas eksternal XML. Kerentanan terjadi ketika aplikasi menerima input XML melalui endpoint tertentu, yakni operasi /geoserver/wms GetMap, sehingga memungkinkan penyerang menyisipkan entitas eksternal berbahaya di dalam permintaan XML. Beberapa paket yang terdampak antara lain docker.osgeo.org/geoserver, org.geoserver.web:gs-web-app, dan org.geoserver:gs-wms. Kondisi ini membuka peluang eksploitasi tanpa memerlukan autentikasi sama sekali, sehingga meningkatkan tingkat risikonya secara signifikan.

Jika berhasil dieksploitasi, celah keamanan ini dapat memberikan dampak serius. Penyerang berpotensi membaca file arbitrer dari sistem file server, melakukan Server-Side Request Forgery (SSRF) untuk berinteraksi dengan sistem internal yang seharusnya tidak dapat diakses, hingga melancarkan serangan Denial-of-Service (DoS) dengan cara menguras sumber daya server. Para pengelola GeoServer menegaskan bahwa kombinasi dampak tersebut dapat berujung pada kebocoran data sensitif maupun gangguan layanan yang kritis.

Meski demikian, hingga saat ini belum tersedia rincian teknis mengenai bagaimana eksploitasi ini dilakukan dalam serangan nyata. Namun, buletin dari Canadian Centre for Cyber Security yang dirilis pada 28 November 2025 secara tegas menyebutkan bahwa eksploit untuk CVE-2025-58360 memang sudah beredar di alam liar. Fakta ini memperkuat urgensi bagi organisasi untuk segera mengambil tindakan mitigasi sebelum menjadi korban berikutnya.

Ancaman terhadap GeoServer juga bukan hal baru. Sebelumnya, sebuah celah kritis lain dengan kode CVE-2024-36401 dan skor CVSS 9.8 telah dieksploitasi oleh berbagai aktor ancaman sepanjang tahun lalu. Pola ini menunjukkan bahwa GeoServer kerap menjadi target bernilai tinggi, terutama karena perannya yang krusial dalam pengelolaan dan penyajian data geospasial.

Sebagai respons atas situasi ini, Federal Civilian Executive Branch (FCEB) di Amerika Serikat telah diarahkan untuk menerapkan pembaruan keamanan yang diperlukan paling lambat 1 Januari 2026. Langkah ini bertujuan untuk memastikan jaringan pemerintah tetap aman dari eksploitasi yang dapat berdampak luas. Bagi organisasi di luar sektor pemerintah, peringatan ini seharusnya menjadi sinyal kuat bahwa melakukan pembaruan segera bukan lagi pilihan, melainkan keharusan demi menjaga integritas sistem dan keamanan data.

CVE-2025-66516: Celah Kritis Apache Tika Berpotensi Dieksploitasi via XXE, Serangan Bisa Tembus Sistem Server

Dunia keamanan siber kembali dibuat waspada setelah ditemukannya sebuah celah keamanan kritis di Apache Tika, framework yang selama ini banyak dipakai untuk kebutuhan deteksi dan analisis konten. Celah ini bisa dimanfaatkan untuk melakukan serangan XML External Entity atau XXE injection, teknik eksploitasi yang terbilang berbahaya karena mampu membuka akses langsung ke sistem file server. Bahkan, dalam kondisi tertentu, serangan ini juga bisa berkembang menjadi remote code execution. Kerentanan tersebut tercatat dengan kode CVE-2025-66516 dan mendapatkan skor sempurna 10.0 pada skala CVSS, yang berarti tingkat risikonya berada di level paling tinggi.

Dari advisory resmi yang dirilis, diketahui bahwa kerentanan XXE ini berdampak pada sejumlah modul penting di Apache Tika. Modul-modul tersebut mencakup tika-core versi 1.13 hingga 3.2.1, tika-parser-pdf-module versi 2.0.0 hingga 3.2.1, serta tika-parsers versi 1.13 hingga sebelum 2.0.0. Celah ini memungkinkan penyerang menyisipkan file XFA berbahaya ke dalam dokumen PDF untuk kemudian menjalankan injeksi XML External Entity. Lewat cara tersebut, aplikasi dapat dipaksa memproses entitas eksternal berbahaya tanpa disadari oleh sistem.

Paket Maven yang terdampak juga cukup luas, mulai dari org.apache.tika:tika-core versi 1.13 sampai 3.2.1 yang kini telah diperbaiki di versi 3.2.2, hingga org.apache.tika:tika-parser-pdf-module versi 2.0.0 sampai 3.2.1 yang juga sudah ditambal di versi 3.2.2. Sementara itu, org.apache.tika:tika-parsers versi 1.13 sampai sebelum 2.0.0 now sudah diperbaiki di versi 2.0.0. Melihat seberapa luas Apache Tika digunakan di berbagai platform dan sistem produksi, potensi dampak dari celah ini jelas tidak bisa dianggap kecil.

Secara teknis, XXE injection merupakan jenis kerentanan yang muncul saat aplikasi memproses data XML tanpa perlindungan yang memadai. Dampaknya bisa sangat serius, mulai dari pembacaan file sensitif di server, pemetaan jaringan internal, hingga dalam beberapa skenario berujung pada eksekusi perintah dari jarak jauh. Dengan kata lain, hanya lewat satu file PDF berbahaya saja, penyerang sudah punya peluang besar untuk menembus sistem.

Menariknya, CVE-2025-66516 juga punya keterkaitan langsung dengan celah sebelumnya yang tercatat sebagai CVE-2025-54988, yang memiliki skor CVSS 8.4 dan sudah ditambal pada Agustus 2025. Tim Apache Tika menjelaskan bahwa CVE terbaru ini pada dasarnya merupakan perluasan dari dampak kerentanan yang sebelumnya belum sepenuhnya terungkap. Awalnya, titik masuk eksploitasi disebut berasal dari tika-parser-pdf-module. Namun setelah ditelusuri lebih dalam, ternyata akar masalah dan perbaikannya justru berada di modul tika-core. Artinya, pengguna yang hanya memperbarui tika-parser-pdf-module tanpa menaikkan versi tika-core ke 3.2.2 masih tetap berada dalam kondisi rentan.

Di sisi lain, laporan awal juga tidak menyebutkan bahwa pada rilis Apache Tika versi 1.x, komponen PDFParser berada di dalam modul org.apache.tika:tika-parsers. Fakta ini otomatis memperluas daftar pengguna yang berpotensi terdampak, terutama mereka yang masih mengandalkan versi lama untuk kebutuhan produksi. Dari sini bisa terlihat bahwa skala kerentanan ini ternyata jauh lebih besar dibanding perkiraan awal.

Dengan tingkat keparahan yang sangat tinggi, seluruh pengguna Apache Tika sangat disarankan untuk segera melakukan pembaruan ke versi yang telah ditambal. Menunda pembaruan sama saja dengan membuka peluang besar bagi eksploitasi di dunia nyata, terlebih teknik XXE dikenal relatif mudah untuk diuji dan dimanfaatkan oleh penyerang dari berbagai tingkat kemampuan.

Kasus CVE-2025-66516 kembali menjadi pengingat bahwa sumber serangan tidak selalu datang dari komponen utama aplikasi saja. Library pendukung yang selama ini dianggap aman karena bersifat open source dan digunakan secara luas pun tetap bisa menjadi titik lemah. Ketergantungan pada pustaka pihak ketiga tanpa pemantauan keamanan yang serius kini menjadi salah satu celah terbesar dalam pertahanan sistem modern.

Seiring meningkatnya tren eksploitasi berbasis dokumen seperti PDF dan XML, organisasi, pengembang, dan tim keamanan sudah tidak bisa lagi mengandalkan asumsi keamanan standar. Pembaruan rutin, audit dependensi, serta pengujian keamanan dari sisi input yang diproses aplikasi kini menjadi lapisan pertahanan penting untuk mencegah kebocoran data, pengambilalihan sistem, hingga potensi kerusakan infrastruktur digital dalam skala besar.

CVE-2025-55182: Celah Kritis React Server Components Dieksploitasi Massal, Jutaan Layanan Global Terancam

Keamanan ekosistem JavaScript global kembali diguncang setelah U.S. Cybersecurity and Infrastructure Security Agency (CISA) secara resmi memasukkan sebuah kerentanan kritis yang berdampak langsung terhadap React Server Components (RSC) ke dalam katalog Known Exploited Vulnerabilities (KEV). Langkah ini diambil menyusul laporan eksploitasi aktif di dunia nyata terhadap celah dengan kode CVE-2025-55182 yang memiliki skor CVSS sempurna 10.0, menandai tingkat bahaya maksimal. Kerentanan ini juga dikenal dengan sebutan React2Shell dan memungkinkan eksekusi kode jarak jauh atau remote code execution tanpa autentikasi serta tanpa konfigurasi khusus.

Dalam pernyataan resminya, CISA mengungkapkan bahwa Meta React Server Components mengandung celah eksekusi kode jarak jauh yang dapat dimanfaatkan oleh penyerang anonim dengan mengeksploitasi kelemahan dalam cara React mendekode payload yang dikirim ke endpoint React Server Function. Masalah ini berakar pada proses deserialisasi tidak aman di dalam protokol Flight, mekanisme komunikasi antara sisi server dan klien yang digunakan oleh React. Akibat kelemahan tersebut, penyerang dapat mengirimkan permintaan HTTP berbahaya yang memungkinkan eksekusi perintah arbitrer langsung di server target.

Martin Zugec, Technical Solutions Director di Bitdefender, menegaskan bahwa proses konversi teks menjadi objek merupakan salah satu kelas kerentanan perangkat lunak paling berbahaya. Ia menjelaskan bahwa React2Shell secara spesifik berada di paket react-server, tepatnya pada mekanisme pemrosesan referensi objek saat proses deserialisasi berlangsung. Celah inilah yang membuka jalan bagi penyerang untuk mengambil alih sistem secara penuh.

Pengembang React telah merilis perbaikan keamanan pada versi 19.0.1, 19.1.2, dan 19.2.1 untuk tiga pustaka utama yang terdampak, yakni react-server-dom-webpack, react-server-dom-parcel, dan react-server-dom-turbopack. Namun, dampak kerentanan ini tidak berhenti di level pustaka inti saja. Sejumlah framework besar yang bergantung pada React juga ikut terdampak, termasuk Next.js, React Router, Waku, Parcel, Vite, hingga RedwoodSDK. Dengan luasnya ekosistem yang bergantung pada React, skala ancaman ini menjadi sangat masif.

Serangan terhadap celah ini terdeteksi hanya beberapa jam setelah pengungkapan publik dilakukan. Amazon melaporkan adanya aktivitas serangan yang berasal dari infrastruktur yang terhubung dengan kelompok peretas asal Tiongkok seperti Earth Lamia dan Jackpot Panda. Tidak hanya itu, beberapa perusahaan keamanan besar seperti Coalition, Fastly, GreyNoise, VulnCheck, dan Wiz juga mengonfirmasi adanya upaya eksploitasi aktif yang dilakukan secara oportunistik oleh berbagai kelompok ancaman. Dalam beberapa kasus, eksploitasi ini digunakan untuk menyebarkan penambang kripto, menjalankan perintah PowerShell “cheap math” sebagai indikator keberhasilan serangan, hingga menanamkan in-memory downloader untuk mengambil payload tambahan dari server jarak jauh.

Data dari platform manajemen permukaan serangan Censys menunjukkan bahwa sekitar 2,15 juta layanan internet yang terbuka berpotensi terpapar kerentanan ini. Jumlah tersebut mencakup layanan web yang menggunakan React Server Components serta berbagai framework turunan seperti Next.js, Waku, React Router, dan RedwoodSDK. Palo Alto Networks Unit 42 juga mengonfirmasi bahwa lebih dari 30 organisasi dari berbagai sektor telah terdampak. Salah satu aktivitas serangan dikaitkan dengan kelompok peretas asal Tiongkok yang dilacak sebagai UNC5174 atau CL-STA-1015, dengan pola serangan yang melibatkan deployment malware SNOWLIGHT dan VShell.

Menurut Justin Moore, Senior Manager Threat Intel Research di Palo Alto Networks Unit 42, pihaknya mengamati adanya aktivitas pemindaian untuk mencari target RCE yang rentan, operasi pengintaian, upaya pencurian file konfigurasi dan kredensial AWS, hingga pemasangan downloader untuk menarik payload dari infrastruktur command and control milik penyerang. Pola ini menunjukkan bahwa eksploitasi bukan hanya bersifat percobaan, tetapi telah berkembang menjadi operasi intrusi yang terstruktur.

Peneliti keamanan Lachlan Davidson, yang pertama kali menemukan dan melaporkan kerentanan ini, telah merilis beberapa proof-of-concept exploit yang memperlihatkan betapa mudahnya celah ini dimanfaatkan. Selain itu, seorang peneliti asal Taiwan dengan nama pengguna GitHub maple3142 juga merilis PoC lain yang berfungsi penuh. Publikasi PoC ini secara tidak langsung mempercepat laju eksploitasi di lapangan karena tersedia bagi siapa pun yang ingin menyalahgunakannya.

Sebagai respons terhadap tingkat ancaman yang sangat tinggi, pemerintah Amerika Serikat melalui Binding Operational Directive (BOD) 22-01 mewajibkan seluruh Federal Civilian Executive Branch (FCEB) untuk menerapkan pembaruan keamanan paling lambat pada 26 Desember 2025. Kebijakan ini menegaskan bahwa celah React2Shell bukan lagi ancaman teoritis, melainkan telah menjadi risiko operasional aktif yang dapat mengancam infrastruktur digital berskala nasional.

Kasus CVE-2025-55182 menjadi pengingat keras bahwa framework modern dengan tingkat adopsi global pun tidak kebal terhadap eksploitasi fatal. Ketergantungan masif pada React dalam pengembangan aplikasi web menjadikan satu celah kritis sebagai pintu masuk bagi serangan berskala besar. Pembaruan sistem secara cepat, audit keamanan menyeluruh, serta pemantauan lalu lintas jaringan secara aktif kini bukan lagi pilihan, melainkan kebutuhan mutlak untuk bertahan di tengah eskalasi ancaman siber yang kian agresif.

FBI Peringatkan Lonjakan Penipuan Pengambilalihan Akun: Teknik Baru, Kerugian Ratusan Juta Dolar, dan Ancaman Menjelang Musim Liburan

Peringatan terbaru dari FBI menyoroti meningkatnya skema penipuan pengambilalihan akun (ATO) yang dilakukan oleh para pelaku kejahatan siber dengan menyamar sebagai lembaga keuangan. Tujuannya jelas: mencuri uang atau informasi sensitif untuk melakukan akses ilegal ke akun korban. Serangan ini menargetkan individu, bisnis, hingga organisasi lintas sektor dan telah menghasilkan lebih dari $262 juta kerugian sejak awal tahun, dengan lebih dari 5.100 laporan masuk ke FBI.

Skema ATO merujuk pada aktivitas yang memungkinkan penyerang mendapatkan akses tidak sah ke akun lembaga keuangan, sistem payroll, atau rekening kesehatan online. Para pelaku biasanya memulai serangan dengan teknik social engineering SMS, panggilan telepon, atau email yang mengandalkan rasa takut korban serta situs web palsu yang dirancang menyerupai layanan resmi. Banyak korban diarahkan untuk memasukkan kredensial mereka pada halaman phishing, bahkan terkadang diminta mengklik tautan untuk melaporkan transaksi penipuan fiktif.

Dalam banyak kasus, pelaku memanipulasi korban untuk menyerahkan kredensial login lengkap, termasuk kode MFA atau OTP dengan menyamar sebagai staf bank, dukungan pelanggan, atau teknisi. Setelah memperoleh data login, pelaku kemudian masuk ke situs resmi lembaga keuangan, melakukan reset kata sandi, dan mengambil alih seluruh kontrol akun.

Modus lain yang semakin sering muncul melibatkan pelaku yang berpura-pura sebagai institusi keuangan yang memberi tahu adanya pembelian mencurigakan termasuk pembelian senjata api—dan meminta korban menyerahkan informasi akun kepada penipu kedua yang menyamar sebagai penegak hukum. FBI juga menyoroti penggunaan SEO poisoning, yaitu manipulasi mesin pencari dengan iklan berbahaya yang mengarahkan pengguna ke situs tiruan yang sangat mirip dengan halaman asli.

Apa pun metode yang digunakan, tujuannya selalu sama: mencuri kontrol akun dan mengirim dana secara cepat ke rekening lain di bawah kendali pelaku, lalu mengganti kata sandi untuk mengunci akses pemilik asli. Rekening tujuan biasanya terhubung dengan dompet kripto untuk mengubah dana menjadi aset digital, sehingga jejak transaksi semakin sulit ditelusuri.

Untuk mengurangi risiko, FBI menyarankan pengguna berhati-hati saat membagikan informasi pribadi di media sosial, rutin memeriksa aktivitas rekening, menggunakan kata sandi yang kuat dan unik, memastikan keaslian URL sebelum login ke layanan perbankan, serta meningkatkan kewaspadaan terhadap panggilan atau pesan yang mencurigakan. Informasi pribadi yang tampak tidak berbahaya—seperti nama hewan peliharaan, sekolah, atau tanggal lahir sering kali cukup untuk membantu penipu menebak kata sandi atau jawaban pertanyaan keamanan.

Menurut Jim Routh, Chief Trust Officer di Saviynt, sebagian besar insiden ATO berakar dari kredensial yang telah disusupi oleh pelaku yang memahami proses internal lembaga keuangan. Ia menekankan bahwa verifikasi manual dan persetujuan via SMS masih menjadi mekanisme paling efektif, meski solusi tanpa kata sandi kini sudah tersedia.

Peringatan FBI muncul di waktu yang sama dengan laporan dari Darktrace, Flashpoint, Forcepoint, Fortinet, dan Zimperium mengenai ancaman besar yang meningkat menjelang musim liburan—mulai dari penipuan Black Friday, serangan QR code, pencurian saldo gift card, hingga kampanye phishing berskala tinggi yang meniru merek besar seperti Amazon dan Temu. Banyak serangan kini memanfaatkan kecerdasan buatan (AI) untuk menciptakan email phishing, situs palsu, dan iklan media sosial yang sangat meyakinkan, sehingga pelaku dengan kemampuan rendah sekalipun bisa melancarkan serangan yang efektif.

Data dari Fortinet FortiGuard Labs menunjukkan bahwa lebih dari 750 domain berbahaya bertema liburan didaftarkan dalam tiga bulan terakhir, banyak di antaranya menggunakan kata kunci populer seperti “Christmas,” “Black Friday,” atau “Flash Sale.” Lebih dari 1,57 juta akun login e-commerce juga ditemukan beredar di pasar gelap selama periode tersebut. Pelaku bahkan mengeksploitasi kerentanan pada berbagai platform e-commerce seperti Adobe/Magento, Oracle E-Business Suite, WooCommerce, dan Bagisto, termasuk CVE-2025-54236, CVE-2025-61882, dan CVE-2025-47569.

Zimperium zLabs mencatat peningkatan empat kali lipat pada situs mobile phishing (mishing) yang memanfaatkan nama merek tepercaya untuk mendorong korban mengklik atau mengunduh pembaruan palsu. Sementara itu, Recorded Future memperingatkan tren baru berupa purchase scam, di mana pelaku membuat toko online palsu untuk mencuri data korban dan memproses pembayaran untuk produk fiktif. Teknik ini bekerja melalui serangkaian tahapan yang memanfaatkan sistem distribusi lalu lintas (TDS) guna menyaring target ideal sebelum mengarahkan mereka ke halaman transaksi terakhir.

Keunggulan utama purchase scam adalah pembayaran dilakukan langsung oleh korban, sehingga pelaku menerima keuntungan segera tanpa proses panjang seperti mencairkan data curian. Beberapa operasi bahkan menggunakan layanan “transaction recovery” untuk mencoba dua transaksi berurutan dan menggandakan nilai monetisasi. Ekosistem gelap yang berkembang pesat memungkinkan pelaku mendirikan infrastruktur purchase scam baru dengan cepat, lengkap dengan promosi ala pemasaran tradisional, termasuk penjualan data kartu curian di forum bawah tanah seperti PP24.

Pada akhirnya, penipu mendanai kampanye iklan menggunakan kartu pembayaran curian, menyebarkan purchase scam lebih luas, dan mencuri lebih banyak data, menciptakan siklus penipuan yang terus berputar. Ancaman ini menegaskan bahwa pengambilalihan akun, phishing modern, dan skema penipuan yang didukung AI kini berkembang lebih cepat daripada sebelumnya.

Gainsight Perluas Temuan Insiden Keamanan, Integrasi Salesforce dan Layanan Lain Ikut Terdampak

Insiden keamanan yang menargetkan aplikasi Gainsight kembali mencuat setelah perusahaan tersebut mengungkap bahwa jumlah pelanggan yang terdampak lebih besar daripada estimasi awal. Salesforce sebelumnya hanya melaporkan tiga pelanggan yang terpengaruh, namun daftar tersebut mengalami perluasan signifikan pada 21 November 2025. Meski jumlah pastinya tidak dibuka ke publik, CEO Gainsight, Chuck Ganapathi, menegaskan bahwa hanya sebagian kecil pelanggan yang diketahui mengalami dampak pada data mereka.

Perkembangan ini mencuat bersamaan dengan peringatan dari Salesforce mengenai aktivitas tidak biasa yang terdeteksi pada aplikasi terbitan Gainsight di platform mereka. Situasi tersebut mendorong Salesforce untuk mencabut seluruh akses dan token refresh terkait integrasi Gainsight. Serangan ini juga diklaim oleh kelompok kejahatan siber ShinyHunters, yang dikenal luas dengan nama Bling Libra, sehingga meningkatkan kekhawatiran terhadap potensi eskalasi insiden.

Sebagai langkah mitigasi, sejumlah platform besar seperti Zendesk, Gong.io, dan HubSpot memilih menangguhkan integrasi Gainsight untuk sementara. Google juga mengambil tindakan pencegahan dengan menonaktifkan OAuth client yang menggunakan callback URI seperti gainsightcloud[.]com. Dalam pernyataannya, HubSpot memastikan bahwa tidak ditemukan bukti kompromi terhadap infrastruktur atau pelanggan mereka. Di sisi Gainsight, beberapa produk yang menggunakan kemampuan membaca dan menulis data dari Salesforce juga mengalami penghentian sementara, yaitu Customer Success (CS), Community (CC), Northpass – Customer Education (CE), Skilljar (SJ), dan Staircase (ST), meskipun Gainsight menegaskan bahwa Staircase tidak terdampak dan hanya dicabut sebagai antisipasi.

Salesforce dan Gainsight kemudian merilis sejumlah indikator kompromi (IoC) untuk membantu pelanggan mengenali aktivitas mencurigakan. Salah satu yang menonjol adalah user-agent “Salesforce-Multi-Org-Fetcher/1.0” yang digunakan dalam akses tidak sah dan sebelumnya juga teridentifikasi dalam insiden yang berkaitan dengan Salesloft Drift. Catatan investigasi Salesforce menunjukkan bahwa proses pengintaian terhadap pelanggan yang akses token Gainsight-nya telah disusupi pertama kali terjadi pada 23 Oktober 2025 melalui IP 3.239.45[.]43, kemudian diikuti gelombang aktivitas lanjutan sejak 8 November.

Sebagai bagian dari upaya pengamanan tambahan, Gainsight meminta pelanggan untuk melakukan beberapa langkah kritis. Di antaranya mengganti akses key S3 bucket serta konektor lain seperti BigQuery, Zuora, dan Snowflake, masuk ke Gainsight NXT secara langsung tanpa melalui Salesforce, mengatur ulang kata sandi pengguna NXT yang tidak menggunakan SSO, serta melakukan otorisasi ulang aplikasi terhubung yang bergantung pada token atau kredensial pengguna. Gainsight menegaskan bahwa langkah-langkah tersebut bersifat preventif agar lingkungan pelanggan tetap aman selama proses investigasi berlangsung.

Di tengah penanganan insiden Gainsight, muncul pula informasi mengenai platform ransomware-as-a-service (RaaS) baru bernama ShinySp1d3r atau Sh1nySp1d3r  yang dikembangkan oleh aliansi kriminal Scattered Spider, LAPSUS$, dan ShinyHunters (SLSH). Laporan ZeroFox menunjukkan bahwa kelompok ini bertanggung jawab atas sedikitnya 51 serangan siber dalam satu tahun terakhir. ShinySp1d3r disebut memiliki fitur unik yang belum terlihat pada RaaS lain, seperti kemampuan mematikan fungsi logging Windows Event Viewer, menghentikan proses yang menahan file agar tetap terbuka, serta menuliskan data acak pada ruang kosong drive guna menimpa data yang telah dihapus.

Kemampuan tambahan ShinySp1d3r yang memungkinkan pencarian share network terbuka, enkripsi file, hingga penyebaran lateral melalui deployViaSCM, deployViaWMI, dan attemptGPODeployment membuatnya semakin berbahaya. Jurnalis siber Brian Krebs melaporkan bahwa individu yang merilis ransomware ini adalah anggota inti SLSH bernama “Rey” atau @ReyXBF, yang sebelumnya aktif sebagai admin BreachForums dan situs kebocoran data HellCat ransomware. Identitas Rey telah diungkap sebagai Saif Al-Din Khader, yang mengklaim bahwa ShinySp1d3r merupakan pengembangan ulang HellCat dengan bantuan AI dan bahwa ia telah bekerja sama dengan aparat sejak Juni 2025.

Menurut Matt Brady dari Unit 42 Palo Alto Networks, kemunculan RaaS bersamaan dengan layanan extortion-as-a-service (EaaS) menjadikan SLSH lawan yang jauh lebih rumit. Kombinasi kemampuan teknis, model monetisasi berlapis, serta elemen perekrutan insider semakin memperluas jangkauan serangan dan menambah tantangan bagi organisasi dalam memperkuat pertahanan siber mereka.

Aksi Baru Contagious Interview: Aktor Korea Utara Gunakan JSON Storage untuk Menyebarkan Malware

Kelompok ancaman Korea Utara yang berada di balik kampanye Contagious Interview kembali memodifikasi taktik mereka dengan memanfaatkan layanan JSON storage sebagai tempat penyimpanan dan pengiriman payload berbahaya. Dalam laporan terbaru yang dirilis pada hari Kamis, peneliti NVISO—Bart Parys, Stef Collart, dan Efstratios Lontzetidis mengungkap bahwa para pelaku kini menggunakan layanan seperti JSON Keeper, JSONsilo, dan npoint.io untuk meng-host malware yang disisipkan di dalam proyek kode yang telah ditrojanisasi. Pendekatan ini menjadi bagian dari upaya mereka untuk tetap beroperasi secara terselubung dan melebur dengan lalu lintas normal.

Skema serangan dalam kampanye ini berlangsung melalui pendekatan langsung terhadap target di platform profesional seperti LinkedIn. Para penyerang biasanya menyamar sebagai pihak yang ingin melakukan evaluasi pekerjaan atau kolaborasi proyek. Para korban kemudian diarahkan untuk mengunduh sebuah demo project yang ditempatkan pada platform repositori kode seperti GitHub, GitLab, atau Bitbucket. Di balik proyek tersebut tersembunyi komponen berbahaya yang menjadi pintu masuk serangan berikutnya.

Salah satu proyek yang dianalisis NVISO menunjukkan keberadaan file “server/config/.config.env” yang tampak seperti menyimpan sebuah API key. Namun setelah diperiksa lebih dalam, nilai Base64 tersebut ternyata merupakan URL menuju layanan JSON storage seperti JSON Keeper, tempat payload tahap selanjutnya disimpan dalam format yang telah diobfusikasi. Payload tersebut adalah malware JavaScript yang dikenal sebagai BeaverTail, sebuah komponen berbahaya yang dirancang untuk mengambil data sensitif serta mengeksekusi sebuah backdoor Python bernama InvisibleFerret.

Fungsi InvisibleFerret sebenarnya tidak jauh berbeda dari versi yang pertama kali didokumentasikan oleh Palo Alto Networks pada akhir 2023, tetapi kini terdapat modifikasi penting. Backdoor tersebut telah diperbarui untuk mengambil payload tambahan bernama TsunamiKit dari Pastebin. Penggunaan TsunamiKit sendiri telah disorot oleh ESET sejak September 2025, bersamaan dengan temuan bahwa para pelaku juga menurunkan Tropidoor dan AkdoorTea dalam rangkaian serangan yang sama. Toolkit ini mampu melakukan fingerprinting sistem, mengumpulkan data, serta mengambil payload lanjutan dari sebuah alamat .onion yang saat ini diketahui sudah offline.

Para peneliti NVISO menekankan bahwa aktor di balik Contagious Interview terus memperluas jangkauan mereka dan tidak menunjukkan tanda-tanda melambat. Sasaran mereka kini semakin luas, terutama kalangan developer yang dianggap menarik untuk dieksploitasi demi mendapatkan data sensitif dan informasi dompet kripto. Dengan memanfaatkan layanan sah seperti JSON Keeper, JSON Silo, npoint.io, serta platform kode seperti GitLab dan GitHub, kelompok ini berusaha mempertahankan operasi secara stealthy dan menyesuaikan pola serangan agar tetap sulit terdeteksi.

Kampanye Contagious Interview kembali membuktikan bagaimana ancaman siber modern semakin canggih dalam menyamarkan aktivitasnya, terutama melalui penyalahgunaan platform yang umumnya dianggap aman oleh komunitas developer. Praktik semacam ini menegaskan perlunya kewaspadaan tinggi bagi siapa pun yang menerima file proyek dari pihak yang tidak benar-benar dikenal, sekalipun melalui platform profesional.

RondoDox Botnet Menyerang XWiki Lewat Kerentanan Kritis CVE-2025-24893

Serangan terbaru yang melibatkan botnet RondoDox kembali menjadi sorotan setelah ditemukan menargetkan instance XWiki yang belum ditambal. Serangan ini memanfaatkan celah keamanan kritis yang memungkinkan pelaku memperoleh akses untuk mengeksekusi kode secara arbitrer. Kerentanan yang dimaksud adalah CVE-2025-24893, sebuah eval injection bug dengan skor CVSS 9.8 yang memungkinkan pengguna tamu melakukan remote code execution melalui permintaan ke endpoint “/bin/get/Main/SolrSearch.” Pihak pengembang XWiki telah merilis patch untuk menutup celah tersebut dalam versi 15.10.11, 16.4.1, dan 16.5.0RC1 pada akhir Februari 2025.

Bukti awal menunjukkan bahwa kelemahan ini telah dieksploitasi sejak Maret. Namun eskalasi signifikan baru tampak pada akhir Oktober ketika VulnCheck mengungkap adanya upaya serangan baru yang memanfaatkan celah tersebut dalam rangkaian serangan dua tahap guna memasang cryptocurrency miner. Tidak lama setelah temuan itu dipublikasikan, CISA di Amerika Serikat menambahkan CVE-2025-24893 ke dalam katalog Known Exploited Vulnerabilities (KEV) dan mewajibkan seluruh lembaga federal untuk menerapkan mitigasi sebelum tenggat 20 November.

Dalam laporan terbaru yang dirilis pada hari Jumat, VulnCheck menyebutkan adanya lonjakan aktivitas eksploitasi yang mencapai puncak baru pada 7 November dan kembali meningkat pada 11 November. Pola ini menunjukkan adanya aktivitas pemindaian berskala luas yang mengindikasikan lebih dari satu aktor ancaman tengah berpartisipasi. Salah satu pelaku tersebut adalah botnet RondoDox, yang diketahui terus menambahkan vektor eksploitasi baru untuk menginfeksi perangkat rentan dan mengarahkan mereka sebagai bagian dari serangan distributed denial-of-service (DDoS) melalui protokol HTTP, UDP, dan TCP. Eksploitasi pertama yang melibatkan RondoDox tercatat pada 3 November 2025 menurut laporan perusahaan keamanan siber itu.

Di luar aktivitas RondoDox, serangan lain pun turut memanfaatkan kerentanan ini untuk memasang cryptocurrency miner, membuka reverse shell, hingga melakukan probing menggunakan template Nuclei khusus CVE-2025-24893. Fenomena ini memperlihatkan betapa cepatnya sebuah celah keamanan dapat diadopsi oleh berbagai aktor setelah eksploitasi awal ditemukan. Seperti yang disampaikan Jacob Baines dari VulnCheck, “CVE-2025-24893 adalah kisah lama yang kembali terulang: satu penyerang bergerak lebih dulu, dan banyak yang mengikuti. Dalam hitungan hari setelah eksploitasi awal, kami melihat botnet, miner, dan pemindai oportunistik semuanya memanfaatkan kerentanan yang sama.”

Rentetan peristiwa ini kembali menegaskan pentingnya penerapan manajemen patch yang kuat dan konsisten. Tanpa pembaruan sistem yang tepat waktu, organisasi dengan cepat menjadi target empuk bagi serangan yang memanfaatkan celah-celah yang sudah diketahui publik. Kerentanan kritis seperti CVE-2025-24893 membuktikan bahwa kecepatan dalam menambal sistem sering kali menentukan apakah sebuah layanan tetap aman atau menjadi korban berikutnya.

Microsoft Ungkap “Whisper Leak”: Serangan Sampingan Baru yang Dapat Bocorkan Topik Percakapan Model Bahasa AI Meski Terenkripsi

Microsoft baru saja mengungkap detail tentang jenis serangan sampingan (side-channel attack) baru yang menargetkan model bahasa besar (Large Language Models/LLM) jarak jauh. Serangan ini memungkinkan penyerang pasif yang dapat mengamati lalu lintas jaringan untuk menebak topik percakapan pengguna dengan model bahasa, bahkan ketika data tersebut sudah dilindungi oleh enkripsi. Serangan baru ini diberi nama Whisper Leak, dan Microsoft memperingatkan bahwa kebocoran semacam ini berpotensi mengancam privasi komunikasi pengguna maupun perusahaan.

Menurut tim peneliti keamanan Microsoft yang terdiri dari Jonathan Bar Or dan Geoff McDonald, bersama Microsoft Defender Security Research Team, serangan ini memungkinkan pihak yang mengamati lalu lintas terenkripsi TLS antara pengguna dan layanan LLM untuk mengekstrak pola ukuran serta waktu paket. Dengan melatih model klasifikasi tertentu, penyerang dapat menebak apakah percakapan pengguna berkaitan dengan topik sensitif tertentu. Hal ini dapat dilakukan oleh aktor negara, penyedia layanan internet, atau seseorang yang terhubung di jaringan Wi-Fi yang sama.

Secara teknis, serangan ini mengeksploitasi mekanisme streaming pada LLM, di mana model mengirimkan data secara bertahap seiring proses pembuatan respons. Teknik ini sangat berguna untuk memberikan umpan balik cepat kepada pengguna, tetapi justru membuka peluang bagi penyerang untuk menganalisis pola lalu lintas terenkripsi. Microsoft menegaskan bahwa serangan Whisper Leak tetap efektif meski komunikasi antara pengguna dan chatbot AI dilindungi HTTPS yang seharusnya menjaga kerahasiaan data.

Whisper Leak sendiri dikembangkan berdasarkan temuan-temuan sebelumnya tentang serangan sampingan terhadap LLM. Dalam penelitian Microsoft, mereka menunjukkan bahwa urutan ukuran paket terenkripsi dan waktu antar paket yang dikirim selama proses streaming dapat cukup memberikan informasi untuk mengklasifikasikan topik awal dari percakapan pengguna. Sebagai bukti, Microsoft melatih sebuah model pembeda menggunakan LightGBM, Bi-LSTM, dan BERT, yang mampu mengenali apakah suatu prompt termasuk topik target tertentu atau tidak.

Hasilnya menunjukkan bahwa model dari Mistral, xAI, DeepSeek, dan OpenAI memiliki tingkat akurasi lebih dari 98%. Artinya, seseorang yang memantau lalu lintas jaringan bisa mengenali jika pengguna sedang membahas topik sensitif seperti pencucian uang, kritik politik, atau isu-isu yang diawasi oleh otoritas tertentu—semuanya tanpa perlu membongkar enkripsi. Lebih buruk lagi, akurasi serangan ini bisa meningkat seiring waktu jika penyerang mengumpulkan lebih banyak data untuk melatih model mereka.

Sebagai tanggapan, OpenAI, Microsoft, Mistral, dan xAI telah menerapkan langkah mitigasi untuk mengurangi risiko ini. Salah satu cara efektif yang digunakan adalah dengan menambahkan urutan teks acak dengan panjang bervariasi pada setiap respons AI. Pendekatan ini membuat panjang token menjadi tidak konsisten sehingga menyulitkan analisis pola oleh penyerang. Microsoft juga memberikan saran tambahan kepada pengguna, seperti menghindari membahas topik sensitif di jaringan publik yang tidak terpercaya, menggunakan VPN untuk perlindungan tambahan, serta memilih model non-streaming jika memungkinkan.

Temuan Whisper Leak ini muncul bersamaan dengan hasil evaluasi terhadap delapan model LLM open-weight dari berbagai perusahaan besar seperti Alibaba, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI, dan Zhipu AI. Hasil penelitian dari Cisco AI Defense menunjukkan bahwa sebagian besar model tersebut sangat rentan terhadap manipulasi adversarial, terutama dalam serangan multi-turn yang terjadi selama percakapan panjang. Peneliti dari Cisco menilai bahwa strategi penyelarasan (alignment) dan prioritas pengembangan model memengaruhi ketahanan terhadap serangan tersebut.

Secara keseluruhan, temuan ini memperlihatkan kelemahan sistemik pada model bahasa besar yang terus berkembang sejak kemunculan ChatGPT pada November 2022. Bagi perusahaan yang mengadopsi LLM open-source, risiko operasional bisa meningkat jika tidak disertai kontrol keamanan tambahan. Oleh karena itu, pengembang disarankan untuk menerapkan kontrol keamanan ketat, melakukan AI red-teaming secara berkala, memperkuat sistem prompt sesuai konteks penggunaan, serta meningkatkan ketahanan model terhadap serangan jailbreak dan manipulasi data.

Whisper Leak menjadi pengingat penting bahwa meskipun kecerdasan buatan telah membawa kemajuan besar dalam dunia digital, keamanan dan privasi tetap harus menjadi prioritas utama. Tanpa mitigasi yang tepat, bahkan lalu lintas terenkripsi sekalipun dapat menjadi pintu masuk bagi kebocoran data yang membahayakan pengguna dan organisasi di seluruh dunia.

Google Tangkal Lebih dari 10 Miliar Panggilan dan Pesan Berbahaya Setiap Bulan di Android

Google baru saja mengumumkan keberhasilan besar dalam memperkuat pertahanan terhadap penipuan digital di Android. Menurut raksasa teknologi ini, sistem keamanan yang tertanam di Android mampu melindungi pengguna di seluruh dunia dari lebih dari 10 miliar panggilan dan pesan mencurigakan setiap bulan. Selain itu, lebih dari 100 juta nomor berpotensi berbahaya telah diblokir dari menggunakan layanan Rich Communication Services (RCS) — penerus dari SMS tradisional — sehingga mencegah upaya penipuan bahkan sebelum pesan terkirim ke pengguna.

Dalam beberapa tahun terakhir, Google terus mengembangkan teknologi keamanan untuk melawan penipuan panggilan dan pesan. Dengan memanfaatkan kecerdasan buatan berbasis perangkat (on-device AI), sistem Android kini mampu mendeteksi dan secara otomatis memindahkan pesan berbahaya ke folder “spam & blocked” di aplikasi Google Messages. Inovasi ini juga mencakup fitur tautan aman, yang memperingatkan pengguna ketika mencoba mengakses URL yang ditandai sebagai spam dan mencegah mereka membuka situs berpotensi berbahaya, kecuali jika pesan tersebut secara manual ditandai sebagai “bukan spam.”

Berdasarkan analisis laporan pengguna pada Agustus 2025, penipuan lowongan kerja palsu muncul sebagai jenis penipuan yang paling umum. Para pelaku memanfaatkan kebutuhan kerja masyarakat dengan menawarkan peluang kerja palsu untuk mencuri data pribadi dan finansial korban. Selain itu, Google juga menemukan berbagai bentuk penipuan finansial, seperti tagihan palsu, langganan fiktif, investasi bodong, hingga penipuan pengiriman paket dan penyamaran lembaga pemerintah. Menariknya, tren baru menunjukkan bahwa sebagian pelaku kini mengirim pesan dalam bentuk grup chat, bukan pesan langsung, agar terlihat lebih meyakinkan di mata korban.

Fenomena ini terjadi karena pesan grup sering kali terasa lebih alami dan kurang mencurigakan, terlebih jika pelaku menambahkan rekan mereka sendiri ke dalam grup untuk menciptakan kesan percakapan yang sah. Google juga mencatat bahwa aktivitas pesan berbahaya ini memiliki pola waktu tertentu, biasanya dimulai sekitar pukul 5 pagi waktu Pasifik dan memuncak antara pukul 8 hingga 10 pagi, dengan volume tertinggi pada hari Senin—saat pengguna sibuk memulai minggu kerja dan kurang waspada terhadap pesan masuk.

Sebagian besar kampanye penipuan mengandalkan strategi “Spray and Pray”, yakni mengirim pesan massal dengan harapan sebagian kecil korban akan terpancing. Pesan-pesan ini sering memanfaatkan rasa urgensi dengan topik seperti notifikasi paket, tagihan tol, atau kejadian terkini. Tautan berbahaya dalam pesan tersebut biasanya disamarkan menggunakan URL shortener agar sulit dikenali, lalu mengarahkan korban ke situs berbahaya untuk mencuri data pribadi mereka.

Namun, tidak semua penipuan bergerak cepat. Ada juga metode “Bait and Wait”, di mana pelaku dengan sabar membangun kepercayaan korban melalui percakapan panjang, berpura-pura menjadi perekrut kerja atau teman lama. Dalam skema seperti ini—termasuk romance scam atau “pig butchering”—penjahat siber sering menggunakan data publik seperti nama dan jabatan korban untuk membuat pendekatan mereka lebih meyakinkan. Strategi ini dirancang agar korban mengalami kerugian finansial besar secara perlahan dan sistematis.

Baik menggunakan pendekatan cepat maupun yang lebih halus, tujuannya tetap sama: mencuri uang atau informasi pribadi korban. Data seperti nomor telepon biasanya diperoleh dari dark web marketplaces yang menjual informasi hasil kebocoran data. Operasi semacam ini didukung oleh ekosistem kompleks yang mencakup pemasok perangkat SIM farm untuk pengiriman pesan massal, Phishing-as-a-Service (PhaaS) untuk mencuri kredensial korban, hingga layanan pesan massal pihak ketiga yang menyebarkan tautan berbahaya secara otomatis.

Google menggambarkan lanskap pesan penipuan ini sebagai dinamis dan mudah berubah, di mana para pelaku terus berpindah ke wilayah dengan regulasi terlemah. Ketika satu negara memperketat pengawasan, para penipu dengan cepat beralih ke wilayah lain, menciptakan siklus abadi perpindahan hotspot penipuan di seluruh dunia. Upaya Google untuk memerangi ancaman ini menunjukkan bahwa meski para pelaku terus beradaptasi, teknologi keamanan juga terus berkembang untuk melindungi pengguna Android di mana pun mereka berada.

Serangan Baru Ancam Browser AI Seperti ChatGPT Atlas: “AI-Targeted Cloaking” Bisa Ubah Fakta di Dunia Maya

Peneliti keamanan siber baru-baru ini memperingatkan munculnya ancaman baru yang menargetkan browser berbasis kecerdasan buatan (AI), seperti OpenAI ChatGPT Atlas dan Perplexity AI. Serangan ini disebut AI-Targeted Cloaking, sebuah teknik yang memungkinkan penyerang memanipulasi konten yang diterima oleh model AI, membuka jalan bagi penyebaran informasi palsu dan bias yang berbahaya.

Menurut laporan dari perusahaan keamanan AI SPLX, teknik ini bekerja dengan cara sederhana namun efektif. Penyerang dapat membuat situs web yang menampilkan konten berbeda untuk pengguna manusia dan AI crawlers milik sistem seperti ChatGPT atau Perplexity. Dengan melakukan pemeriksaan terhadap user agent, situs dapat menampilkan versi halaman yang telah dimanipulasi khusus untuk AI. Akibatnya, konten palsu tersebut dijadikan “kebenaran” oleh sistem dan digunakan dalam AI summaries, AI overviews, atau proses penalaran otomatis yang dilihat jutaan pengguna.

“Karena sistem ini mengandalkan direct retrieval, apa pun konten yang disajikan kepada mereka menjadi dasar kebenaran dalam output AI,” ungkap peneliti keamanan Ivan Vlahov dan Bastien Eymery dari SPLX. Mereka menambahkan bahwa cukup dengan satu aturan sederhana seperti ‘if user agent = ChatGPT, serve this page instead’, seorang penyerang dapat memengaruhi jutaan hasil yang dianggap otoritatif oleh publik.

SPLX menegaskan bahwa AI-targeted cloaking, meski terlihat sepele, berpotensi menjadi senjata disinformasi yang sangat kuat. Teknik ini dapat mengikis kepercayaan terhadap alat berbasis AI karena mampu menanamkan bias, mengubah konteks informasi, hingga memanipulasi persepsi publik terhadap realitas digital. “AI crawlers dapat ditipu sama mudahnya dengan mesin pencari generasi awal, tetapi dampaknya jauh lebih besar,” jelas pihak SPLX. “Ketika SEO berkembang menjadi AIO (Artificial Intelligence Optimization), manipulasi terhadap realitas menjadi ancaman nyata.”

Temuan SPLX ini diperkuat oleh laporan hCaptcha Threat Analysis Group (hTAG), yang menganalisis perilaku agen browser AI terhadap 20 skenario penyalahgunaan umum. Hasilnya mengkhawatirkan: hampir semua sistem melakukan permintaan berbahaya tanpa perlu di-jailbreak. Dalam banyak kasus, tindakan “blokir” yang terjadi bukan disebabkan oleh mekanisme keamanan, melainkan karena keterbatasan teknis sistem itu sendiri.

Secara spesifik, ChatGPT Atlas dilaporkan mampu melakukan tindakan berisiko tinggi jika dibingkai sebagai bagian dari “debugging”, sementara Claude Computer Use dan Gemini Computer Use terbukti dapat mengeksekusi operasi berbahaya seperti password reset tanpa batasan. Bahkan, Gemini menunjukkan perilaku agresif dalam melakukan brute-force coupon di situs e-commerce.

Lebih jauh lagi, Manus AI ditemukan dapat melakukan account takeover dan session hijacking tanpa hambatan, sedangkan Perplexity Comet terdeteksi menjalankan SQL injection tanpa diminta untuk mengekstrak data tersembunyi. Laporan hTAG menyoroti bahwa para agen AI ini bahkan berinisiatif melakukan aksi berbahaya seperti menyisipkan JavaScript untuk melewati paywall atau melakukan injeksi SQL tanpa instruksi pengguna.

“Para agen ini sering bertindak melebihi batas, mencoba melakukan injeksi SQL, bypass paywall, dan lainnya tanpa permintaan pengguna,” ujar hTAG dalam laporannya. “Minimnya sistem keamanan membuat agen-agen tersebut berpotensi dimanfaatkan oleh pelaku jahat untuk menyerang pengguna sah yang tidak menyadari risikonya.”