Belajar Hacking dari Nol untuk Pemula: Panduan Lengkap dari Dasar Sampai Mahir - Ethical Hacking Indonesia

Belajar Hacking dari Nol untuk Pemula: Panduan Realistis yang Jarang Dibahas

Belajar hacking dari nol sering dianggap sesuatu yang instan, cepat, dan penuh aksi seperti di film. Padahal realitanya jauh lebih kompleks dan membutuhkan fondasi yang kuat. Banyak pemula di Indonesia gagal di tahap awal bukan karena tidak mampu, tetapi karena salah arah belajar. Mereka langsung masuk ke tools tanpa memahami konsep dasar seperti networking, sistem operasi, dan cara kerja web. Artikel ini akan membahas secara terstruktur bagaimana memulai belajar hacking dari nol.

Apa Itu Hacking dan Kenapa Harus Dipelajari dengan Benar

Hacking bukan sekadar membobol sistem. Dalam konteks profesional, hacking adalah proses memahami sistem secara mendalam untuk menemukan celah keamanan. Seorang ethical hacker bekerja seperti investigator: menganalisis, menguji, dan melaporkan kelemahan. Tanpa pemahaman ini, belajar hacking hanya akan menjadi aktivitas coba-coba tanpa arah yang jelas. Di industri cybersecurity, kemampuan berpikir analitis jauh lebih penting daripada sekadar bisa menggunakan tools seperti scanner atau exploit framework.

Fondasi Wajib Sebelum Belajar Hacking

Sebelum masuk ke dunia hacking, ada tiga fondasi utama yang tidak bisa dilewati. Pertama adalah networking. Pemahaman tentang IP address, TCP/UDP, DNS, HTTP, dan bagaimana data berpindah di jaringan adalah kunci utama. Tanpa ini, semua aktivitas hacking akan terasa seperti menebak-nebak. Kedua adalah sistem operasi, terutama Linux. Banyak tools hacking berjalan di Linux, sehingga memahami command line, file system, dan process management menjadi wajib. Ketiga adalah dasar pemrograman, terutama Python dan JavaScript. Ini penting untuk memahami logika aplikasi dan membuat automation sederhana.

Langkah-Langkah Belajar Hacking dari Nol

Langkah pertama adalah membangun mindset yang benar. Hacking bukan tentang “langsung bisa”, tetapi tentang proses panjang memahami sistem. Setelah itu, fokus pada networking terlebih dahulu. Pelajari bagaimana request dan response bekerja, bagaimana website berkomunikasi dengan server, dan bagaimana data dikirim. Setelah itu, lanjut ke Linux dengan membiasakan diri menggunakan terminal setiap hari.

Tahap berikutnya adalah masuk ke web hacking, karena ini adalah bidang paling relevan dan banyak dicari. Pelajari konsep seperti HTTP request, cookies, session, dan parameter. Dari sini, mulai eksplorasi vulnerability dasar seperti XSS, SQL Injection, dan IDOR. Jangan langsung lompat ke exploit kompleks sebelum memahami kenapa vulnerability itu bisa terjadi.

Tools yang Digunakan Pemula (dan Cara Menggunakannya dengan Benar)

Banyak pemula terjebak pada penggunaan tools tanpa memahami cara kerjanya. Tools seperti Burp Suite, Nmap, dan Subdomain Scanner hanyalah alat bantu. Misalnya, ketika menggunakan Burp Suite, fokus utama bukan pada klik tombol scan, tetapi memahami bagaimana request dimodifikasi dan bagaimana response berubah. Tools harus digunakan sebagai alat untuk belajar, bukan sebagai jalan pintas.

Platform Latihan yang Direkomendasikan

Untuk praktik, penting menggunakan platform yang legal dan terstruktur. Platform seperti lab hacking menyediakan simulasi sistem nyata yang aman untuk diuji. Di sini, pemula bisa belajar dengan pendekatan hands-on, bukan hanya teori. Selain itu, menonton walkthrough dari praktisi juga bisa membantu memahami pola pikir dalam melakukan eksploitasi, bukan sekadar hasil akhirnya.

Kesalahan Fatal yang Sering Dilakukan Pemula

Kesalahan paling umum adalah terlalu fokus pada hasil tanpa memahami proses. Banyak yang ingin cepat “menjadi hacker” tanpa membangun fondasi. Selain itu, terlalu bergantung pada tutorial tanpa mencoba sendiri juga menjadi hambatan besar. Hacking adalah skill praktis, bukan hanya konsumsi konten. Kesalahan lain adalah berpindah-pindah topik tanpa arah, sehingga tidak ada skill yang benar-benar dikuasai.

Roadmap Belajar Hacking yang Realistis

Dalam 1–3 bulan pertama, fokus pada networking dan Linux. Jangan terburu-buru masuk ke exploit. Dalam 3–6 bulan berikutnya, mulai masuk ke web hacking dan pahami vulnerability dasar secara mendalam. Setelah itu, mulai eksplorasi bug bounty atau CTF untuk mengasah kemampuan. Roadmap ini bukan tentang cepat, tetapi tentang membangun skill yang benar-benar usable di dunia nyata.

Penutup

Belajar hacking dari nol bukan sesuatu yang instan, tetapi sangat mungkin dilakukan jika dilakukan dengan metode yang benar. Kunci utamanya adalah konsistensi, pemahaman konsep, dan praktik terus-menerus. Jika dilakukan dengan serius, skill ini tidak hanya membuka peluang karir di bidang cybersecurity, tetapi juga membentuk pola pikir analitis yang sangat kuat.

Untuk Belajar Berbasis Video Kunjungi Channel Youtube:

Ethical Hacking Indonesia

Baca Juga Artikel Tentang:

Recon Academy

Kali Linux

Kenapa Ethical Hacker Menggunakan Kali Linux? Ini Alasan Teknis yang Jarang Dibahas

Dalam dunia ethical hacking, tools dan environment bukan sekadar pilihan, tetapi adalah fondasi. Salah satu sistem operasi yang hampir selalu muncul dalam setiap diskusi penetration testing adalah Kali Linux. Bukan tanpa alasan, distribusi Linux ini dirancang secara spesifik untuk kebutuhan offensive security, digital forensics, hingga reverse engineering. Jadi, pertanyaannya bukan lagi “kenapa dipakai”, tapi “kenapa hampir semua hacker profesional bergantung padanya?”

Secara teknis, Kali Linux dikembangkan oleh Offensive Security, sebuah organisasi yang juga dikenal lewat sertifikasi OSCP yang sangat dihormati di industri. Ini berarti Kali bukan sekadar distro biasa—ia dibangun langsung oleh praktisi yang memahami kebutuhan real-world penetration testing. Dalam satu instalasi, sudah tersedia ratusan tools seperti Nmap untuk scanning jaringan, Burp Suite untuk analisis aplikasi web, dan Metasploit Framework untuk eksploitasi kerentanan. Ini menghilangkan kebutuhan instalasi manual yang biasanya memakan waktu dan rawan error.

Baca Juga - 10 Tools Penting untuk Ethical Hacking yang Paling Banyak Digunakan Profesional Keamanan Siber - 2026

Alasan lain yang jarang dibahas adalah efisiensi workflow. Ethical hacker bekerja dalam metodologi yang sistematis reconnaissance, scanning, exploitation, post-exploitation, dan reporting. Kali Linux sudah mengorganisir tools berdasarkan fase ini. Artinya, seorang hacker tidak perlu membuang waktu mencari tools secara acak. Bahkan untuk advanced user, Kali memungkinkan scripting dan automation yang sangat fleksibel, sesuatu yang sulit dicapai di sistem operasi seperti Windows tanpa konfigurasi kompleks.

Baca Juga - Recon Academy

Dari sisi kompatibilitas hardware, Kali Linux juga unggul. Banyak adapter Wi-Fi eksternal yang mendukung mode monitor dan packet injection bekerja optimal di Kali, yang sangat penting untuk wireless penetration testing. Fitur seperti ini sering menjadi bottleneck jika menggunakan OS lain. Selain itu, Kali juga mendukung berbagai platform, mulai dari virtual machine, live boot USB, hingga ARM devices seperti Raspberry Pi.

Namun, penting dipahami bahwa Kali Linux bukan untuk penggunaan sehari-hari (daily driver). Sistem ini dirancang dengan asumsi bahwa penggunanya memahami apa yang mereka lakukan. Banyak konfigurasi default yang berorientasi pada testing, bukan keamanan pengguna biasa. Oleh karena itu, penggunaan Kali harus disesuaikan dengan kebutuhan, bukan sekadar ikut tren “biar terlihat hacker”.

Dimana Download Kali Linux?

Untuk menghindari malware atau image yang sudah dimodifikasi, selalu download dari sumber resmi:

Situs resmi: https://www.kali.org terdapat banyak sekali versi sesuai dengan kebutuhan yang  ingin digunakan, mulai dari full instal, Virtual machine (VM), hingga live.

Versi Virtual Machine biasanya paling direkomendasikan untuk pemula karena tinggal import dan langsung jalan tanpa setup rumit.

Kerentanan Command Injection di Composer PHP Terungkap: Dua CVE Baru Ancam Eksekusi Perintah Arbitrer

Dua kerentanan keamanan dengan tingkat keparahan tinggi telah diungkap dalam Composer, pengelola dependensi utama untuk ekosistem PHP yang digunakan secara luas oleh developer di seluruh dunia. Celah ini berkaitan dengan mekanisme integrasi sistem version control Perforce (VCS driver) yang digunakan oleh Composer untuk mengambil dan mengelola source code dari repository eksternal. Kedua kerentanan tersebut telah didaftarkan sebagai CVE-2026-40261 dan CVE-2026-40176, masing-masing dilaporkan oleh peneliti keamanan Koda Reef dan saku0512. Hingga saat pengungkapan, tidak ditemukan bukti eksploitasi aktif terhadap kedua celah ini.

Bagaimana Kerentanan Ini Bisa Ada?

Kerentanan ini berakar pada kesalahan dalam proses sanitasi input yang digunakan dalam konstruksi perintah shell. Secara spesifik, Composer tidak melakukan escaping yang memadai terhadap parameter tertentu yang berasal dari input pengguna, sehingga membuka peluang bagi penyerang untuk menyisipkan perintah berbahaya. Dalam konteks sistem operasi, kondisi ini dikenal sebagai command injection, yaitu teknik eksploitasi di mana input yang tidak tervalidasi dimanfaatkan untuk mengeksekusi perintah arbitrer pada sistem target.

CVE-2026-40176 memengaruhi metode Perforce::generateP4Command(), yang bertanggung jawab dalam membangun perintah shell untuk berinteraksi dengan repository Perforce. Dalam implementasinya, metode ini menggabungkan parameter koneksi seperti port, user, dan client langsung ke dalam perintah tanpa proses escaping yang aman. Jika parameter tersebut dikendalikan oleh pihak yang tidak tepercaya, misalnya melalui file composer.json yang dimodifikasi secara jahat, maka penyerang dapat menyisipkan karakter khusus shell untuk mengeksekusi perintah tambahan di sistem korban.

Namun demikian, ruang lingkup eksploitasi untuk kerentanan ini relatif terbatas. Composer hanya memuat konfigurasi repository VCS dari file composer.json utama yang berada di direktori kerja pengguna atau dari direktori konfigurasi global seperti ~/.config/composer/composer.json. Artinya, file composer.json yang berasal dari dependensi pihak ketiga tidak secara otomatis menjadi vektor eksploitasi. Risiko muncul ketika pengguna menjalankan perintah Composer pada proyek yang tidak terpercaya, terutama jika file composer.json dalam proyek tersebut telah dimanipulasi oleh penyerang.

Kerentanan kedua, CVE-2026-40261, ditemukan pada metode Perforce::syncCodeBase(). Dalam kasus ini, masalah muncul dari parameter source reference yang ditambahkan ke dalam perintah shell tanpa escaping yang memadai. Parameter ini dapat dimanipulasi untuk menyisipkan karakter metakarakter shell, sehingga memungkinkan eksekusi perintah arbitrer. Peneliti juga mengidentifikasi bahwa kelemahan serupa pada metode generateP4Command() turut berdampak pada field source URL, memperluas potensi permukaan serangan.

Berbeda dengan kerentanan sebelumnya, CVE-2026-40261 memiliki vektor eksploitasi yang lebih luas. Parameter source reference dan source URL berasal dari metadata paket, yang dapat disediakan oleh repository Composer mana pun. Dengan kata lain, repository yang telah dikompromikan atau dibuat secara khusus untuk tujuan berbahaya dapat mendistribusikan metadata yang mengandung payload eksploitasi. Hal ini berarti pengguna tidak perlu secara langsung membuka proyek berbahaya untuk menjadi korban; cukup dengan menginstal dependensi dari repository yang tidak terpercaya, risiko eksploitasi sudah muncul.

Menariknya, eksploitasi terhadap kerentanan ini tidak bergantung pada keberadaan Perforce di sistem korban. Composer tetap akan mencoba mengeksekusi perintah shell yang telah dibangun, terlepas dari apakah Perforce terinstal atau tidak. Ini memperluas potensi dampak serangan, karena tidak ada prasyarat khusus pada lingkungan sistem selain penggunaan Composer itu sendiri.

Eksploitasi CVE-2026-40261 terutama terjadi dalam skenario di mana dependensi diinstal dari source, misalnya dengan menggunakan opsi --prefer-source atau ketika menginstal paket versi pengembangan (dev). Dalam mode ini, Composer cenderung mengambil kode langsung dari repository sumber, bukan dari distribusi arsip yang telah dikemas. Hal ini membuka jalur bagi metadata berbahaya untuk diproses dan dieksekusi sebagai bagian dari workflow instalasi.

Langkah Mitigasi

Sebagai respons terhadap temuan ini, tim pengembang Composer telah merilis pembaruan keamanan yang mencakup perbaikan untuk kedua kerentanan tersebut. Versi yang telah diperbaiki adalah Composer 2.9.6 untuk jalur rilis utama dan 2.2.27 untuk cabang long-term support (LTS). Pengguna yang masih menjalankan versi lama sangat disarankan untuk segera melakukan pembaruan guna memitigasi risiko yang ada.

Selain pembaruan perangkat lunak, terdapat beberapa langkah mitigasi yang relevan untuk mengurangi potensi eksploitasi. Untuk CVE-2026-40261, disarankan untuk menghindari instalasi dependensi dari source dengan menggunakan opsi --prefer-dist atau mengatur preferensi instalasi ke mode distribusi. Pendekatan ini mengurangi kemungkinan eksekusi perintah yang berasal dari metadata repository. Sementara itu, untuk CVE-2026-40176, praktik terbaik mencakup audit manual terhadap file composer.json sebelum menjalankan perintah Composer, khususnya jika proyek berasal dari sumber yang belum diverifikasi.

Langkah mitigasi lain yang tidak kalah penting adalah membatasi penggunaan repository Composer hanya pada sumber yang terpercaya. Dalam ekosistem open-source yang terbuka, integritas repository menjadi faktor krusial dalam menjaga keamanan rantai pasokan perangkat lunak. Serangan yang memanfaatkan metadata paket merupakan bagian dari tren yang lebih luas dalam supply chain attack, di mana penyerang menargetkan titik distribusi dependensi untuk menyusupkan kode berbahaya.

Sebagai tindakan pencegahan tambahan, platform distribusi paket utama, Packagist, telah melakukan pemindaian terhadap paket yang ada dan tidak menemukan indikasi eksploitasi aktif menggunakan metadata Perforce yang berbahaya. Meskipun demikian, sebagai langkah mitigasi proaktif, publikasi metadata source Perforce telah dinonaktifkan sejak 10 April 2026. Kebijakan ini bertujuan untuk menutup sementara potensi jalur distribusi eksploitasi hingga ekosistem benar-benar aman dari ancaman tersebut.

Kesimpulan 

Kasus ini kembali mengingatkan pentingnya validasi input yang ketat dalam pengembangan perangkat lunak, terutama pada komponen yang berinteraksi langsung dengan sistem operasi. Kesalahan kecil dalam proses escaping dapat berujung pada konsekuensi serius, termasuk eksekusi perintah arbitrer yang dapat mengkompromikan sistem secara penuh. Bagi developer dan praktisi keamanan, insiden ini menjadi pengingat bahwa keamanan tidak hanya bergantung pada konfigurasi atau kebijakan, tetapi juga pada implementasi kode yang aman di level fundamental.

Dengan meningkatnya kompleksitas ekosistem dependensi modern, pendekatan defensif seperti verifikasi sumber, pembaruan rutin, dan pembatasan trust boundary menjadi semakin penting. Composer, sebagai salah satu komponen inti dalam pengembangan aplikasi PHP, kini telah menutup celah tersebut, tetapi tanggung jawab akhir tetap berada pada pengguna untuk memastikan bahwa praktik penggunaan mereka tidak membuka peluang eksploitasi yang serupa di masa depan.

Baca Juga:

36 Paket Berbahaya di NPM Menyamar sebagai Plugin Strapi, Targetkan Infrastruktur Kripto dengan Eksploitasi Redis dan PostgreSQL

Teknik Baru Web Shell: Aktor Ancaman Sembunyikan Eksekusi Kode Lewat HTTP Cookie di Server Linux

FBI dan Polisi Indonesia Bongkar W3LL, Platform Phishing Global yang Targetkan Puluhan Ribu Akun Microsoft 365

Operasi gabungan antara Federal Bureau of Ivestigation (FBI) dan Kepolisian Republik Indonesia berhasil mengungkap dan membongkar sebuah infrastruktur kejahatan siber global yang beroperasi melalui perangkat lunak phishing bernama W3LL. Platform ini diketahui digunakan untuk mencuri kredensial korban serta menjalankan skema penipuan yang diperkirakan mencapai nilai hingga 20 juta dolar AS. Dalam operasi tersebut, otoritas turut menangkap seorang individu yang diduga sebagai pengembang utama, yang diidentifikasi dengan inisial G.L, serta menyita sejumlah domain kunci yang digunakan dalam operasional phishing tersebut.

Dalam pernyataan resminya, FBI menegaskan bahwa pembongkaran ini memutus salah satu sumber daya penting yang selama ini dimanfaatkan oleh pelaku kejahatan siber untuk mendapatkan akses tidak sah ke akun korban. Infrastruktur W3LL bukan sekadar alat phishing konvensional, melainkan sebuah platform layanan penuh yang dirancang untuk mendukung berbagai aktivitas kejahatan siber secara terorganisir. Pernyataan ini diperkuat oleh FBI Atlanta melalui Special Agent in Charge, Marlo Graham, yang menyebut bahwa W3LL merupakan ekosistem kejahatan siber yang menyediakan layanan lengkap bagi pelaku, bukan hanya sekadar toolkit sederhana.

Secara teknis, W3LL beroperasi dengan pendekatan yang serupa dengan kit phishing pada umumnya, yakni dengan meniru halaman login dari layanan resmi untuk mengecoh korban. Namun, yang membedakan adalah tingkat kompleksitas dan integrasi layanan yang ditawarkan. Platform ini menyediakan berbagai komponen mulai dari alat phishing kustom, daftar email target, hingga akses ke server yang telah dikompromikan. Kit ini bahkan dipasarkan dengan harga sekitar 500 dolar AS, menjadikannya relatif mudah diakses oleh pelaku dengan berbagai tingkat kemampuan teknis.

Baca Juga Artikel - Spear Phising

Aktivitas W3LL pertama kali terdeteksi pada 6 September 2023 oleh tim Threat Intelligence dari Group-IB. Berdasarkan hasil investigasi, infrastruktur phishing ini telah menargetkan lebih dari 56.000 akun korporat Microsoft 365 dalam periode antara Oktober 2022 hingga Juli 2023. Dari jumlah tersebut, setidaknya 8.000 akun berhasil dikompromikan, dengan mayoritas korban berasal dari Amerika Serikat, Inggris, Australia, Jerman, Kanada, Prancis, Belanda, Swiss, dan Italia. Operasi ini menghasilkan keuntungan ilegal yang diperkirakan mencapai 500.000 dolar AS bagi para operatornya.

Perusahaan keamanan siber yang berbasis di Singapura tersebut menggambarkan W3LL sebagai instrumen phishing all-in-one yang mencerminkan tren peningkatan penggunaan model phishing-as-a-service (PhaaS). Model ini memungkinkan pelaku kejahatan untuk “menyewa” atau membeli layanan phishing tanpa harus membangun infrastruktur sendiri dari nol. Hal ini secara signifikan menurunkan hambatan masuk ke dalam dunia kejahatan siber dan memperluas skala serangan secara global.

Salah satu aspek teknis paling krusial dari W3LL adalah penggunaan metode adversary-in-the-middle (AitM). Teknik ini memungkinkan pelaku untuk mencegat komunikasi antara korban dan layanan asli, khususnya dalam proses autentikasi. Dengan pendekatan ini, pelaku dapat mencuri session cookies, yang kemudian digunakan untuk melewati mekanisme multi-factor authentication (MFA). Dalam konteks keamanan modern, kemampuan untuk menghindari MFA menjadi ancaman serius karena MFA selama ini dianggap sebagai salah satu lapisan pertahanan paling efektif terhadap pengambilalihan akun.

Baca Juga Tentang - adversary-in-the-middle (AitM)

Baca Juga Tentan - Multi-factor-Authentication (MFA)

Laporan dari Hunt.io yang dipublikasikan pada Maret 2024 mengonfirmasi bahwa W3LL secara khusus menargetkan kredensial Microsoft 365 dengan memanfaatkan teknik AitM tersebut. Hal ini menunjukkan adanya fokus strategis terhadap lingkungan korporat, di mana akses ke satu akun dapat membuka pintu ke data sensitif, komunikasi internal, hingga sistem bisnis yang lebih luas.

Penyerang menggunakan login page mirip seperti Adobe Shared File, dan menuntun atau mengarahkan korban untuk melakukan login menggunakan akun outlook yang korban punya sehingga penyerang dapat mengambil dan mengakses semua data terkait korban yang secara individu maupun sebagai staf sebuah perusahaan. Yang dimana hal ini berpotesni bisa memperburuk kondisi dan bisa terjadi exfiltasi data perusahaan amupun individu yang di anggap bernilai oleh penyerang atau akan digunakan untuk langkah selanjutnya seperti lateral movement seperti kebanayak kasus penyalahgunaan informasi  yang ditemukan oleh analis Ethical Hacking Indonesia

Selain itu, analisis dari perusahaan keamanan asal Prancis, Sekoia, terhadap kit phishing lain bernama Sneaky 2FA mengungkap adanya kemiripan kode dengan W3LL Store. Temuan ini menunjukkan bahwa ekosistem phishing tidak berdiri secara terpisah, melainkan saling terhubung dan berkembang melalui reuse kode serta distribusi versi crack. Dalam beberapa tahun terakhir, versi modifikasi dari W3LL diketahui telah beredar di kalangan komunitas underground, memperluas dampaknya bahkan setelah infrastruktur utama ditutup.

Skoia menemukan adanya komunikasi menggunakan User-Agent yang tidak biasa, atau menggunakan user-agent yang ada dalam table di atas untuk melakukan autentikasi.

Meskipun W3LL Store secara resmi dihentikan pada tahun 2023, FBI mengungkap bahwa operasionalnya tidak benar-benar berhenti. Aktivitas tersebut berlanjut melalui platform pesan terenkripsi, di mana toolkit ini diubah nama dan tetap dipasarkan secara aktif. Dalam periode 2023 hingga 2024 saja, kit phishing ini dilaporkan telah digunakan untuk menargetkan lebih dari 17.000 korban di seluruh dunia. Fakta ini menegaskan bahwa pembongkaran infrastruktur utama tidak serta merta mengakhiri ancaman, terutama ketika distribusi telah terdesentralisasi.

Penangkapan G.L oleh Kepolisian Indonesia menjadi salah satu elemen kunci dalam upaya penegakan hukum lintas negara ini. Meskipun identitas lengkap tidak dipublikasikan, peran individu tersebut sebagai pengembang utama menunjukkan bahwa rantai pasokan dalam kejahatan siber dapat ditelusuri hingga ke aktor inti. Kolaborasi antara FBI dan otoritas Indonesia juga mencerminkan pentingnya kerja sama internasional dalam menghadapi ancaman siber yang tidak mengenal batas geografis.

Operasi ini bisa berjalan karena adanya kerjasama antara Kepolisian Republik Indonesia dan FBI di Amerika

Kasus W3LL menyoroti evolusi signifikan dalam lanskap phishing global. Dari yang awalnya bersifat sederhana dan sporadis, kini berkembang menjadi industri terstruktur dengan model bisnis yang jelas. PhaaS memungkinkan siapa pun dengan sumber daya terbatas untuk meluncurkan serangan skala besar, sementara teknik seperti AitM meningkatkan tingkat keberhasilan dengan menembus lapisan keamanan yang sebelumnya dianggap kuat.

Bagi organisasi dan praktisi keamanan, temuan ini mempertegas bahwa pendekatan defensif tidak lagi cukup jika hanya mengandalkan autentikasi berbasis kredensial dan MFA tradisional. Diperlukan mekanisme tambahan seperti deteksi anomali berbasis perilaku, proteksi terhadap session hijacking, serta peningkatan kesadaran pengguna terhadap serangan phishing yang semakin canggih dan sulit dibedakan dari interaksi asli.

Di sisi lain, keberhasilan operasi ini memberikan sinyal bahwa upaya penegakan hukum masih memiliki dampak signifikan dalam mengganggu ekosistem kejahatan siber. Penyitaan domain, penangkapan aktor kunci, serta publikasi temuan teknis menjadi bagian dari strategi yang lebih luas untuk mengurangi skala dan efektivitas serangan.

Namun, dengan adanya distribusi ulang dan adaptasi cepat dari toolkit seperti W3LL, tantangan ke depan tetap kompleks. Infrastruktur mungkin dapat dibongkar, tetapi model operasional yang sudah menyebar akan terus berevolusi. Dalam konteks ini, respons yang efektif memerlukan kombinasi antara penegakan hukum, inovasi teknologi, dan kolaborasi lintas sektor yang berkelanjutan.

Adobe Rilis Patch Darurat untuk Celah Kritis Acrobat Reader yang Dieksploitasi Aktif - 2026

Perusahaan perangkat lunak Adobe merilis pembaruan keamanan darurat untuk menutup kerentanan kritis pada produk Acrobat dan Acrobat Reader setelah ditemukan bukti eksploitasi aktif di dunia nyata. Celah keamanan ini, yang diidentifikasi sebagai CVE-2026-34621, memungkinkan penyerang menjalankan kode berbahaya pada sistem korban melalui dokumen PDF yang dirancang secara khusus.

Kerentanan tersebut memiliki skor CVSS 8,6 dari 10, menandakan tingkat keparahan tinggi dengan potensi dampak signifikan terhadap integritas dan keamanan sistem. Dalam analisis teknisnya, celah ini dikategorikan sebagai prototype pollution, sebuah kelemahan dalam konteks JavaScript yang memungkinkan manipulasi properti objek secara tidak sah. Dalam praktiknya, teknik ini dapat membuka jalur bagi eksekusi kode arbitrer, yang berarti penyerang tidak hanya dapat membaca data tetapi juga menjalankan perintah berbahaya di lingkungan korban.

Celah ini memengaruhi berbagai versi produk Acrobat di sistem operasi Windows dan macOS. Adobe mengonfirmasi bahwa versi Acrobat DC dan Acrobat Reader DC hingga 26.001.21367 terdampak, dengan perbaikan telah dirilis pada versi 26.001.21411. Sementara itu, untuk lini Acrobat 2024, versi sebelum 24.001.30356 juga terdampak, dengan patch tersedia pada versi 24.001.30362 untuk Windows dan 24.001.30360 untuk macOS. Pembaruan ini menjadi langkah krusial mengingat eksploitasi kerentanan telah terdeteksi berlangsung di lingkungan nyata, bukan sekadar uji laboratorium.

Dalam pernyataan resminya, Adobe mengakui bahwa mereka “menyadari adanya eksploitasi aktif terhadap CVE-2026-34621 di dunia nyata.” Pernyataan ini mempertegas urgensi pembaruan, terutama bagi organisasi dan individu yang masih menggunakan versi perangkat lunak yang rentan. Eksploitasi aktif menunjukkan bahwa pelaku ancaman telah mengembangkan metode serangan yang memanfaatkan celah tersebut sebelum patch tersedia secara luas.

Temuan awal terkait eksploitasi kerentanan ini diungkap oleh Haifei Li, seorang peneliti keamanan sekaligus pendiri EXPMON. Ia mengidentifikasi bahwa celah tersebut dapat dimanfaatkan untuk menjalankan kode JavaScript berbahaya ketika pengguna membuka dokumen PDF yang telah dimodifikasi. Mekanisme serangan ini relatif sederhana dari perspektif pengguna akhir, karena hanya memerlukan interaksi berupa membuka file, tanpa indikasi mencurigakan yang jelas.

Lebih lanjut, indikasi menunjukkan bahwa eksploitasi terhadap celah ini kemungkinan telah berlangsung sejak Desember 2025. Jika dikonfirmasi, hal ini berarti terdapat jendela waktu yang cukup panjang di mana sistem rentan dapat disusupi tanpa disadari. Dalam konteks keamanan siber, periode eksploitasi sebelum patch tersedia sering kali menjadi fase paling berbahaya, karena pengguna tidak memiliki mitigasi resmi selain langkah pencegahan manual.

Perubahan skor CVSS dari sebelumnya 9,6 menjadi 8,6 juga mencerminkan penyesuaian dalam vektor serangan. Adobe memperbarui parameter dari Network (AV:N) menjadi Local (AV:L), yang berarti eksploitasi memerlukan interaksi pengguna secara langsung, seperti membuka file berbahaya. Meskipun demikian, dampaknya tetap signifikan karena vektor distribusi PDF berbahaya dapat dilakukan melalui berbagai saluran, termasuk email phishing, unduhan situs tidak terpercaya, atau distribusi melalui platform berbagi file.

Dalam analisis yang dipublikasikan oleh EXPMON, disebutkan bahwa kerentanan ini tidak hanya terbatas pada kebocoran informasi, tetapi berpotensi mengarah pada eksekusi kode arbitrer. Hal ini memperluas spektrum ancaman, dari sekadar pencurian data menjadi pengambilalihan sistem secara penuh. Temuan ini juga konsisten dengan observasi peneliti keamanan lain yang memantau aktivitas eksploitasi dalam beberapa hari terakhir sebelum pengumuman resmi dari Adobe.

Dari perspektif teknis, prototype pollution merupakan kelas kerentanan yang sering kali sulit dideteksi dalam aplikasi berbasis JavaScript yang kompleks. Dengan memanipulasi prototipe objek global, penyerang dapat mengubah perilaku aplikasi secara tidak terduga. Dalam konteks Acrobat Reader, ini membuka kemungkinan injeksi kode yang dieksekusi dalam runtime aplikasi, sehingga melewati beberapa mekanisme perlindungan tradisional.

Adobe telah menyediakan beberapa metode pembaruan bagi pengguna untuk mengatasi risiko ini. Pengguna individu dapat memperbarui perangkat lunak melalui menu “Help” dan memilih “Check for Updates,” sementara sistem juga dapat diperbarui secara otomatis jika fitur pembaruan diaktifkan. Untuk lingkungan enterprise, administrator TI disarankan menggunakan metode distribusi terpusat seperti SCCM, GPO, atau Apple Remote Desktop untuk memastikan seluruh endpoint diperbarui secara konsisten.

Pembaruan ini menegaskan pentingnya manajemen patch yang disiplin, terutama untuk perangkat lunak yang digunakan secara luas seperti Acrobat Reader. Dalam banyak kasus, PDF dianggap sebagai format yang relatif aman oleh pengguna awam, padahal secara teknis dapat menjadi vektor serangan yang efektif jika terdapat celah pada engine pemrosesnya.

Kasus CVE-2026-34621 juga mencerminkan pola yang semakin umum dalam lanskap ancaman modern, di mana eksploitasi zero-day terjadi sebelum vendor merilis patch resmi. Hal ini menempatkan organisasi dalam posisi reaktif, di mana deteksi dini dan respons insiden menjadi faktor kunci dalam meminimalkan dampak.

Dengan adanya bukti eksploitasi aktif, pembaruan terhadap perangkat lunak bukan lagi sekadar rekomendasi, melainkan kebutuhan mendesak. Sistem yang tidak diperbarui berisiko menjadi titik masuk bagi serangan lanjutan, termasuk penyebaran malware, pencurian data sensitif, atau bahkan kompromi jaringan secara menyeluruh.

Dalam konteks yang lebih luas, insiden ini kembali menyoroti pentingnya kolaborasi antara vendor dan komunitas peneliti keamanan. Adobe secara khusus memberikan kredit kepada Haifei Li atas pelaporan kerentanan ini, yang menunjukkan peran krusial peneliti independen dalam mengidentifikasi dan mengungkap celah sebelum disalahgunakan secara lebih luas.

Seiring meningkatnya kompleksitas perangkat lunak modern, potensi munculnya kerentanan serupa tetap tinggi. Oleh karena itu, pendekatan proaktif terhadap keamanan, termasuk pembaruan rutin, pemantauan aktivitas mencurigakan, dan edukasi pengguna, menjadi elemen penting dalam mempertahankan ketahanan sistem terhadap ancaman yang terus berkembang.

Kenapa Akun Instagram Bisa Diambil Alih atau di Hack? Ini Penyebab dan Cara Mencegahnya - 2026

2026 makin banyak orang kehilangan akun Instagram karena kena hack, dan ironisnya, banyak yang tidak tahu penyebabnya. Ternyata, mayoritas peretas tidak pakai teknik rumit, lho. Mereka cuma memanfaatkan kecerobohan kita sebagai pengguna. Intinya, ancaman paling nyata bukan cuma soal teknologi canggih, tapi lebih kepada kebiasaan digital kita yang masih kurang aman.

Jangan remehkan kekuatan password! Penggunaan kombinasi yang mudah ditebak, seperti tanggal lahir, mempermudah peretas membobol akun melalui teknik brute force. Tanpa kata sandi yang kuat, akun Anda sangat rentan diakses pihak tidak bertanggung jawab hanya dalam hitungan menit.

Waspada terhadap jebakan phishing yang kian canggih! Banyak pengguna Instagram tertipu oleh halaman login palsu yang tampilannya sangat identik dengan aslinya. Pelaku memanfaatkan kelengahan korban melalui link yang disebar di DM atau email. Tanpa sadar, saat Anda mengetikkan username dan kata sandi, data Anda justru terkirim langsung ke peretas. Akibatnya, akun bisa diambil alih secara instan karena korban tidak merasa sedang dijebak.

Jangan biarkan akun Instagram Anda jadi sasaran empuk! Banyak pengguna masih mengabaikan pentingnya 2FA, padahal fitur ini adalah kunci untuk memblokir akses ilegal meskipun peretas sudah tahu password Anda. Risiko juga mengintai dari aplikasi pihak ketiga "penambah followers" yang terlihat menggiurkan. Ingat, saat Anda memberikan data login ke aplikasi tidak terpercaya, Anda secara sukarela menyerahkan kunci akun Anda kepada orang asing. Hindari aplikasi mencurigakan jika tidak ingin akun Anda hilang atau disalahgunakan.

Hati-hati saat menggunakan Wi-Fi gratis! Tanpa pengaman, data login Anda bisa disadap dengan mudah. Agar akun tetap aman, terapkan langkah Wajib Aman ini: buat password unik yang sulit ditebak, nyalakan Autentikasi Dua Faktor, dan jangan pernah tergoda klik link asing atau pakai aplikasi penambah followers ilegal. Jika terpaksa memakai Wi-Fi umum, selalu gunakan VPN. Ingat, pertahanan terbaik bukan cuma soal teknologi, tapi kebiasaan kita yang lebih teliti. Keamanan digital dimulai dari diri sendiri!

Baca Juga:

https://www.ethicalhackingindonesia.com/2026/01/jutaan-pengguna-instagram-panik-klaim.html

https://www.ethicalhackingindonesia.com/2026/03/meta-hentikan-dukungan-end-to-end.html

Analisis Kampanye APT28 2026: Eksploitasi CVE-2026-21509 dan PRISMEX Targetkan Rantai Pasok Pertahanan Ukraina dan NATO

Eskalasi ancaman siber global kini tengah memuncak melalui kampanye terbaru dari APT28 (alias Fancy Bear atau Forest Blizzard). Sejak terdeteksi pada September 2025, operasi ini menunjukkan lonjakan aktivitas pada Januari 2026 dengan fokus serangan pada infrastruktur pertahanan Ukraina serta jalur logistik bantuan militer dan kemanusiaan NATO. Agresi ini mempertegas pola serangan sistematis yang telah dijalankan kelompok tersebut sejak tahun 2014.

Aktor ancaman yang berafiliasi dengan Rusia ini kembali membuktikan kapabilitas teknisnya dalam memanfaatkan zero-day exploit. Melalui kerentanan Microsoft Office berkode CVE-2026-21509 - Base Score: 7.8 HIGH, mereka melancarkan serangan presisi terhadap sektor pemerintahan, militer, dan infrastruktur vital di Eropa Tengah serta Timur. Yang mengkhawatirkan, penyiapan infrastruktur serangan terpantau telah dimulai dua minggu sebelum celah keamanan tersebut diumumkan secara resmi, sebuah indikasi kuat adanya akses awal terhadap rincian eksploitasi.

Selain CVE-2026-21509, indikasi kuat juga mengarah pada eksploitasi kerentanan kedua, yaitu CVE-2026-21513 - Base Score: 8.8 HIGH, yang berkaitan dengan bypass fitur keamanan dalam framework MSHTML milik Microsoft. Sampel eksploitasi untuk kerentanan ini terdeteksi di platform publik sebelum patch resmi dirilis, menunjukkan adanya eksploitasi zero-day di lingkungan nyata. Pola ini memperkuat dugaan bahwa pelaku memiliki kapabilitas intelijen yang memungkinkan mereka mengakses informasi kerentanan sebelum dipublikasikan secara luas.

Rantai serangan dimulai melalui teknik spear-phishing yang menargetkan individu dalam organisasi tertentu dengan email yang tampak kredibel. Subjek email sering kali berkaitan dengan isu-isu strategis seperti peringatan hidro-meteorologi, undangan program pelatihan militer, atau laporan penyelundupan senjata. Lampiran berupa dokumen RTF berbahaya menjadi titik awal eksploitasi, di mana ketika dibuka, dokumen tersebut memicu kerentanan CVE-2026-21509.

Eksploitasi ini memungkinkan bypass terhadap mekanisme keamanan OLE dan memaksa sistem korban untuk mengakses server WebDAV eksternal. Dari sini, sistem secara otomatis mengeksekusi file shortcut berbahaya dengan ekstensi .lnk. Dalam skenario yang diduga melibatkan CVE-2026-21513, file .lnk tersebut kemudian memanfaatkan teknik manipulasi DOM dan iframe bertingkat untuk mengeksekusi payload tanpa memunculkan peringatan keamanan kepada pengguna.

Terdapat konsistensi yang jelas pada infrastruktur command-and-control (C2) di seluruh rangkaian serangan, ditandai dengan penggunaan domain komunikasi yang tumpang tindih. Temuan ini mendukung teori bahwa aktor tersebut mengintegrasikan kedua kerentanan ke dalam satu exploit chain yang kompleks. Walaupun validasi eksternal masih terbatas, keselarasan waktu dan aset infrastruktur menjadi bukti kuat adanya keterkaitan operasional.

Operasi ini mengandalkan dua jalur payload utama, di mana PRISMEX muncul sebagai rangkaian malware yang paling dominan. Dengan arsitektur modular, PRISMEX memastikan infeksi tetap bertahan di sistem secara sinkron. Malware ini juga menggunakan teknik steganografi, menyisipkan kode jahat ke dalam gambar sebagai taktik kamuflase yang sangat efektif untuk mengecoh deteksi antivirus tradisional yang tidak menduga adanya ancaman di dalam file non-eksekutif.

Komponen pertama, PrismexSheet, merupakan dropper berbasis Excel yang menggunakan macro VBA untuk mengekstrak payload tersembunyi dari dalam file. Selanjutnya, PrismexDrop bertugas menyiapkan lingkungan sistem dan membangun persistensi melalui teknik COM hijacking. Tahap berikutnya melibatkan PrismexLoader, yang menggunakan algoritma khusus bernama Bit Plane Round Robin untuk mengekstrak payload dari gambar PNG. Tahap akhir adalah PrismexStager, yang menggunakan framework open-source Covenant untuk membangun komunikasi terenkripsi dengan server C&C melalui layanan cloud yang sah.

Penggunaan Covenant dalam konteks ini bukan hal baru, namun integrasinya dengan eksploitasi kerentanan terbaru menunjukkan peningkatan signifikan dalam kecepatan adaptasi kelompok ini. Framework tersebut memungkinkan komunikasi yang terenkripsi dan fleksibel, serta mendukung eksekusi payload secara dinamis tanpa meninggalkan jejak file di sistem, sebuah pendekatan yang dikenal sebagai fileless execution.

Operasi ini mengungkap adanya integrasi dengan ekosistem malware yang lebih luas, khususnya NotDoor yang sempat dianalisis pada awal 2025. PRISMEX diidentifikasi sebagai evolusi dari kerangka kerja tersebut, yang kini memperluas jangkauannya dengan mengintegrasikan vektor infeksi melalui eksploitasi celah keamanan terbaru. Fenomena ini merefleksikan pergeseran strategi aktor ancaman yang kini memprioritaskan fleksibilitas operasional dan keberlanjutan akses jangka panjang di atas sekadar eksploitasi teknis sesaat.

Dari sisi target, kampanye ini menunjukkan fokus strategis pada rantai pasok pertahanan Ukraina. Sektor yang disasar mencakup lembaga eksekutif pusat, layanan darurat, institusi meteorologi, serta entitas militer. Data meteorologi, misalnya, memiliki peran penting dalam perencanaan operasi militer seperti penyesuaian tembakan artileri dan navigasi drone. Dengan mengakses informasi ini, pelaku dapat memperoleh keuntungan taktis di lapangan.

Di luar Ukraina, negara-negara yang berperan sebagai jalur logistik bantuan militer juga menjadi target. Polandia, sebagai hub utama transportasi darat, serta Romania, Slovenia, dan Turki yang memiliki peran dalam jalur laut dan distribusi regional, termasuk dalam cakupan serangan. Negara-negara seperti Slovakia dan Republik Ceko yang terlibat dalam dukungan logistik dan politik juga tidak luput dari perhatian.

Pemilihan target dan teknik rekayasa sosial yang digunakan menunjukkan pemahaman mendalam terhadap struktur organisasi dan pola komunikasi antar lembaga. Email yang tampak berasal dari institusi terpercaya seperti kepolisian perbatasan atau lembaga meteorologi meningkatkan kemungkinan korban membuka lampiran berbahaya. Pendekatan ini menegaskan bahwa aspek manusia tetap menjadi titik lemah utama dalam banyak serangan siber.

Laporan dari berbagai organisasi seperti CERT-UA, Zscaler ThreatLabz, dan Synaptic Systems memberikan perspektif tambahan yang memperkuat analisis terhadap kampanye ini. Masing-masing menyoroti aspek berbeda, mulai dari teknik eksploitasi hingga infrastruktur dan payload yang digunakan. Konsistensi temuan antar lembaga ini memperkuat validitas analisis dan menunjukkan skala serta kompleksitas operasi yang dijalankan.

Rangkaian serangan ini mencerminkan lonjakan kapabilitas APT28 yang kian canggih. Integrasi cepat antara kerentanan zero-day dengan sistem PRISMEX yang modular menunjukkan bahwa musuh bekerja dengan sangat terencana. Organisasi yang terhubung dengan ekosistem pertahanan Ukraina harus melihat kampanye ini sebagai peringatan serius. Strategi pertahanan kini tidak bisa lagi hanya bersifat reaktif, melainkan harus mengutamakan respons cepat dan mitigasi berlapis untuk menghadapi ancaman yang kian dinamis.

Sumber:

Ethical Hacking Indonesia

NVD-NIST

Kaspersky - Spear-Phising

CERT-UA

Zscaler ThreatLabz - APT28 Leverages CVE-2026-21509 in Operation Neusploit

Synaptic Systems - Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

FrostArmada: Eksploitasi Router dan Pembajakan DNS untuk Eksfiltrasi Kredensial Global Terungkap - DNS Hijacking

Investigasi terbaru dari Black Lotus Labs mengungkap kampanye siber berskala global yang diberi nama FrostArmada, yang dikaitkan dengan aktor ancaman Forest Blizzard. Kampanye ini menunjukkan evolusi taktik yang signifikan dalam operasi pengumpulan intelijen berbasis jaringan, dengan fokus utama pada eksploitasi perangkat edge seperti router dan manipulasi sistem Domain Name System (DNS) untuk mencuri kredensial autentikasi.

"Forest Blizzard (sebelumnya dikenal sebagai STRONTIUM) menggunakan berbagai teknik akses awal, termasuk eksploitasi kerentanan pada aplikasi yang terhubung ke internet (web-facing applications). Untuk mendapatkan kredensial, mereka memanfaatkan spear phishing serta penggunaan alat otomatis untuk serangan password spray atau brute force yang dioperasikan melalui jaringan TOR. Forest Blizzard memiliki kemahiran yang setara dalam membobol lingkungan infrastruktur lokal (on-premises) maupun yang berbasis cloud, serta menggunakan perangkat lunak kustom dan malware khusus untuk mendukung operasi tersebut" Microsoft Threat Intelligence

Forest Blizzard secara strategis memadukan inovasi baru dengan taktik klasik dalam kampanye terbarunya. Dengan mengoperasikan infrastruktur serangan milik sendiri, aktor ini secara spesifik mengincar entitas vital seperti sektor pemerintahan, diplomasi, penegakan hukum, hingga infrastruktur email pihak ketiga untuk kepentingan intelijen mereka.

Aktivitas awal kampanye ini terdeteksi sejak Mei 2025 dalam skala terbatas. Namun, eskalasi besar terjadi segera setelah National Cyber Security Centre merilis laporan berjudul Authentic Antics pada 5 Agustus 2025. Laporan tersebut mengungkap alat malware yang digunakan untuk mencuri kredensial Microsoft Office. Hanya sehari setelah publikasi laporan tersebut, para peneliti mengamati lonjakan eksploitasi router secara luas yang disertai dengan teknik pengalihan DNS. Pola ini menunjukkan kemampuan adaptasi cepat dari aktor ancaman dalam merespons eksposur publik terhadap taktik mereka.

Teknik utama FrostArmada melibatkan eksploitasi akses remote pada router MikroTik dan TP-Link guna mengalihkan resolver DNS. Manipulasi ini menyebar secara sistematis melalui DHCP ke seluruh titik akhir di jaringan lokal, memfasilitasi kontrol lalu lintas data dan eksfiltrasi informasi yang sulit terdeteksi oleh pengguna akhir.

Saat pengguna mengakses layanan login, DNS yang telah dikompromi akan membelokkan trafik ke node Attacker-in-the-Middle (AitM) yang menyamar sebagai layanan asli. Meski sering memicu peringatan sertifikat keamanan, pengguna yang mengabaikan peringatan tersebut berisiko terkena teknik break and inspect. Di sinilah aktor ancaman mencegat lalu lintas data untuk mengambil kredensial hingga token OAuth tepat setelah proses MFA selesai.

Dibandingkan menggunakan kerentanan zero-day, serangan ini lebih memilih memanfaatkan kelemahan mendasar pada sistem DNS. Dengan memanipulasi jalur lalu lintas data, aktor ancaman dapat mengumpulkan informasi rahasia secara efisien tanpa perlu melakukan peretasan langsung pada infrastruktur sistem target.

Investigasi mengungkap adanya pembagian kerja dalam kampanye ini melalui dua klaster utama. Klaster pertama, yang diidentifikasi sebagai "expansion team", bertanggung jawab untuk memperluas jangkauan infeksi dengan mengeksploitasi infrastruktur jaringan secara massal. Tim ini mengincar antarmuka web router melalui kerentanan (CVE) yang sudah ada, terutama pada perangkat usang. Selain router, perangkat seperti firewall enterprise dari Fortinet serta solusi dari vendor menengah seperti Nethesis juga menjadi target utama.

Setelah perangkat berhasil dikompromikan, lalu lintas DNS diarahkan ke server resolusi yang dikendalikan aktor, yang berfungsi seperti resolver normal namun secara selektif memanipulasi permintaan terhadap domain tertentu. Teknik ini memberikan tingkat stealth yang tinggi karena sebagian besar lalu lintas tetap berjalan normal, sehingga sulit dideteksi oleh sistem monitoring tradisional.

Salah satu temuan paling signifikan adalah kemampuan aktor untuk mengumpulkan token OAuth dari workstation dalam jaringan lokal yang terhubung ke router yang telah dikompromikan. Ini menunjukkan bahwa dampak serangan tidak terbatas pada perangkat jaringan saja, tetapi juga meluas ke endpoint pengguna tanpa eksploitasi langsung pada perangkat tersebut.

Data telemetri menunjukkan bahwa puncak aktivitas terjadi pada Desember 2025, dengan lebih dari 18.000 alamat IP unik dari setidaknya 120 negara terlibat dalam interaksi dengan infrastruktur aktor. Dalam snapshot selama satu bulan, tercatat lebih dari 290.000 alamat IP yang mengirimkan permintaan DNS ke server yang dikendalikan aktor, meskipun jumlah korban dengan tingkat kepercayaan sedang diperkirakan sekitar 18.000 berdasarkan frekuensi interaksi.

Peneliti juga mengidentifikasi beberapa node AitM utama yang digunakan dalam kampanye ini. Node pertama mulai aktif pada Mei 2025 dan menerima permintaan DNS dari entitas pemerintah Afghanistan serta firewall di Italia. Node kedua menunjukkan peningkatan aktivitas signifikan pada 6 Agustus 2025, bertepatan dengan eskalasi pasca publikasi laporan NCSC. Node ini juga mendukung DNS over TLS (DoT), yang meningkatkan kompleksitas analisis dan deteksi.

Menariknya, pola koneksi dari node AitM ke berbagai layanan email menunjukkan bahwa sebagian besar kompromi terjadi pada tingkat akun individu, bukan pada infrastruktur backend penyedia layanan. Hal ini menegaskan bahwa tujuan utama kampanye ini adalah pengumpulan intelijen melalui akses email, bukan sabotase sistem secara langsung.

Forest Blizzard sendiri dikenal sebagai aktor yang terkait dengan Unit 26165 dari GRU Rusia (Fancy Bear). Mereka memiliki rekam jejak panjang dalam operasi siber, termasuk serangan password spraying terhadap layanan Microsoft pada 2021 dan pergeseran ke spear phishing pada 2023 ketika adopsi multi-factor authentication meningkat. Dalam kampanye sebelumnya, mereka juga menggunakan alat seperti “NotDoor” untuk memperdalam akses ke sistem target.

Kampanye FrostArmada menunjukkan bahwa meskipun teknik serangan berevolusi, tujuan strategis aktor tetap konsisten, yaitu memperoleh akses terhadap komunikasi sensitif. Adaptasi cepat terhadap eksposur publik menunjukkan tingkat kematangan operasional yang tinggi dan kemungkinan besar aktivitas serupa akan terus berlanjut dengan metode yang dimodifikasi.

Sebagai respons terhadap temuan ini, peneliti telah menambahkan indikator kompromi (IOC) ke dalam sistem deteksi mereka untuk melindungi pelanggan/pengguna/user mereka. Organisasi yang beroperasi di sektor pemerintah, pertahanan, logistik, dan IT disarankan untuk meningkatkan hardening sistem, memantau aktivitas akun secara ketat, serta memastikan semua perangkat jaringan diperbarui dan tidak menggunakan perangkat yang sudah end-of-life.

Mitigasi tambahan seperti implementasi certificate pinning pada perangkat korporasi sangat krusial untuk mendeteksi anomali pada lalu lintas data. Penguatan kebijakan autentikasi serta pembatasan akses remote administratif menjadi langkah kunci dalam meminimalkan risiko serangan serupa. Kampanye FrostArmada ini menjadi peringatan keras bahwa infrastruktur edge sering kali menjadi celah yang terlupakan. Keamanan yang hanya berfokus pada endpoint tidak lagi mencukupi tanpa adanya perlindungan komprehensif pada lapisan jaringan.

Sumber:

Lumen - FrostArmada: All thriller, no (malware) filler

Ethical Hacking Indonesia - Evolusi ClickFix: Taktik DNS Staging, Lumma Stealer, dan Gelombang Malware Global yang Menargetkan Windows serta macOS 

Microsoft Threat Intelligence - Nation State Actor Forest Blizzard

National Cyber Security Centre - Malware Analysis Report AUTHENTIC ANTICS

BleepingComputer.com - Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins

MITRE-ATTCK - Adversary-in-the-Middle

Ethical Hacking Indonesia - Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Ethical Hacking Indonesia - Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

OAuth 2.0 - OAuth Access Tokens

WikiPedia - Fancy Bear

Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Gelombang serangan ransomware dengan tempo tinggi kembali menjadi perhatian setelah Microsoft Threat Intelligence mengungkap aktivitas aktor siber bermotif finansial yang dilacak sebagai Storm-1175. Kelompok ini menunjukkan pola operasi yang agresif dan sistematis, memanfaatkan celah keamanan yang baru diungkap untuk menembus sistem yang terpapar ke internet sebelum organisasi sempat menerapkan patch secara luas. Strategi tersebut menempatkan mereka dalam kategori aktor dengan kemampuan eksekusi cepat, yang mampu mengubah celah teknis menjadi insiden besar hanya dalam hitungan jam hingga beberapa hari.

"Storm-1175 bergerak sangat cepat mulai dari akses awal hingga eksfiltrasi data dan penyebaran ransomware Medusa, seringkali dalam hitungan hari dan, dalam beberapa kasus, dalam waktu kurang dari 24 jam" ungkap Microsoft Threat Intelligence.

Storm-1175 mengandalkan eksploitasi N-day, yaitu kerentanan yang telah dipublikasikan tetapi belum ditambal oleh banyak organisasi. Namun, dalam beberapa kasus, kelompok ini juga terdeteksi menggunakan zero-day kerentanan yang belum diketahui publik bahkan hingga satu minggu sebelum pengungkapan resmi. Kombinasi ini memberi mereka keunggulan signifikan dalam fase awal serangan, terutama terhadap sistem yang menghadap publik seperti server web, layanan manajemen jarak jauh, dan infrastruktur enterprise lainnya.

Setelah mendapatkan akses awal, Storm-1175 bergerak sangat cepat. Dalam banyak kasus, transisi dari eksploitasi awal ke eksfiltrasi data dan deployment ransomware dapat terjadi dalam waktu kurang dari 24 jam, meskipun sebagian serangan berlangsung selama lima hingga enam hari. Ransomware yang digunakan dalam operasi ini adalah Medusa ransomware, yang dikenal dengan model double extortion menggabungkan enkripsi data dengan ancaman kebocoran data untuk meningkatkan tekanan terhadap korban.

Dampak dari kampanye ini tidak terbatas pada satu sektor. Organisasi layanan kesehatan menjadi target utama, diikuti oleh sektor pendidikan, jasa profesional, dan keuangan. Wilayah yang terdampak signifikan meliputi Australia, Inggris, dan Amerika Serikat, menunjukkan bahwa operasi Storm-1175 memiliki cakupan global dengan fokus pada target bernilai tinggi dan kritikal.

Sejak 2023, lebih dari 16 kerentanan telah dieksploitasi oleh kelompok ini. Beberapa di antaranya mencakup sistem populer seperti Microsoft Exchange, Ivanti Connect Secure, JetBrains TeamCity, hingga SAP NetWeaver. Salah satu contoh paling mencolok adalah eksploitasi terhadap CVE-2025-31324 pada SAP NetWeaver, di mana celah tersebut dipublikasikan pada 24 April 2025 dan langsung dimanfaatkan oleh Storm-1175 sehari setelahnya.

Berikut list CVE yang kemudian digunakan oleh Storm-1175 dalam operasi serangan yang pernah mereka lakukan:

1. CVE-2023-21529 (Microsoft Exchange) - Base Score: 8.8 HIGH

"Penyerang yang terautentikasi dapat melakukan eksekusi kode jarak jauh (remote code execution) pada Microsoft Exchange Server, yang berpotensi menyebabkan penguasaan server sepenuhnya, pencurian data, serta pergerakan lateral (lateral movement) di dalam lingkungan perusahaan" yang diberitakan oleh SentinelOne

2. CVE-2023-27351 - Base Score: 8.2 HIGH dan CVE-2023-27350 - Base Score: 9.8 CRITICAL (Papercut) 

CVE-2023-27351 "Kerentanan ini memungkinkan penyerang jarak jauh untuk melewati autentikasi pada instalasi PaperCut NG 22.0.5 (Build 63914) yang terdampak." ungkap pentesttool

 CVE-2023-27350 "Setelah berhasil mengakses server, penyerang dapat memanfaatkan fitur-fitur yang ada pada perangkat lunak PaperCut untuk melakukan eksekusi kode jarak jauh (remote code execution)." ungkap peneliti CISA

3. CVE-2023-46805 danCVE-2024-21887 (Ivanti Connect Secure and Policy Secure)

4. CVE-2024-1709 and CVE-2024-1708 (ConnectWise ScreenConnect)

5. CVE-2024-27198 and CVE-2024-27199 (JetBrains TeamCity)

6. CVE-2024-57726, CVE-2024-57727, and CVE-2024-57728 (SimpleHelp)

7. CVE‑2025‑31161 (CrushFTP)

8. CVE-2025-10035 (GoAnywhere MFT)

9. CVE-2025-52691 and CVE-2026-23760 (SmarterMail)

10. CVE-2026-1731 (BeyondTrust)

Untuk Pembaca: Untuk melihat Base Score yang menjadi indikator keparahan dari sebuah vulnerabiliti bisa melalui situs CISA atau NVD.

Selain eksploitasi tunggal, Storm-1175 juga menunjukkan kemampuan chaining exploit, yaitu menggabungkan beberapa kerentanan untuk mencapai eksekusi kode jarak jauh (RCE) atau memperluas akses dalam sistem yang telah dikompromikan. Kemampuan ini memperkuat posisi mereka sebagai aktor dengan tingkat kematangan operasional yang tinggi.

Tidak hanya terbatas pada sistem berbasis Windows, Storm-1175 juga teridentifikasi menargetkan lingkungan Linux. Pada akhir 2024, eksploitasi terhadap instance rentan dari Oracle WebLogic ditemukan di berbagai organisasi, meskipun detail kerentanan spesifik yang digunakan tidak berhasil diidentifikasi. Hal ini menandakan fleksibilitas taktis kelompok tersebut dalam menghadapi berbagai arsitektur sistem.

Dalam fase pasca-kompromi, Storm-1175 mengikuti pola yang cukup konsisten. Mereka membuat web shell atau menanam payload akses jarak jauh untuk mempertahankan foothold dalam sistem. Setelah itu, mereka menciptakan akun pengguna baru dan memberikan hak administratif sebagai bentuk persistence. Akun ini kemudian digunakan untuk melakukan reconnaissance dan pergerakan lateral ke sistem lain dalam jaringan.

Untuk mempercepat pergerakan, Storm-1175 memanfaatkan teknik living-off-the-land dengan menggunakan alat bawaan sistem seperti PowerShell dan PsExec. Mereka juga menggunakan tunnel berbasis Cloudflare yang disamarkan sebagai proses sah seperti conhost.exe untuk menghindari deteksi. Jika akses Remote Desktop Protocol (RDP) tidak tersedia, mereka bahkan memodifikasi kebijakan firewall Windows untuk mengaktifkannya secara paksa.

Selain itu, kelompok ini sangat bergantung pada perangkat remote monitoring and management (RMM) untuk memperluas kontrol. Berbagai tools seperti AnyDesk, Atera RMM, dan ConnectWise ScreenConnect digunakan untuk mengelola sistem yang telah dikompromikan secara efisien dan tersembunyi.

Dalam hal pencurian kredensial, Storm-1175 memanfaatkan teknik klasik namun efektif. Mereka memodifikasi registry Windows untuk mengaktifkan caching kredensial melalui WDigest atau melakukan dump LSASS menggunakan Task Manager. Kedua teknik ini memerlukan hak administratif lokal, yang biasanya sudah mereka peroleh di tahap awal kompromi. Data yang diperoleh kemudian digunakan untuk eskalasi hak akses lebih lanjut, termasuk akses ke domain controller.

Salah satu langkah kritis dalam serangan adalah pengambilan file NTDS.dit, yaitu database Active Directory yang berisi informasi pengguna dan password yang dapat di-crack secara offline. Dengan akses ini, Storm-1175 dapat menguasai seluruh domain jaringan korban. Mereka juga memanfaatkan akses ke Security Account Manager (SAM) untuk mendapatkan kredensial tambahan.

Untuk menghindari deteksi, Storm-1175 secara aktif memanipulasi konfigurasi antivirus, termasuk mengubah pengaturan Microsoft Defender Antivirus melalui registry. Hal ini memungkinkan payload ransomware dijalankan tanpa hambatan dari mekanisme proteksi bawaan sistem.

Dalam tahap eksfiltrasi data, mereka menggunakan kombinasi alat kompresi dan sinkronisasi. File dikumpulkan menggunakan Bandizip, kemudian dikirim ke infrastruktur cloud menggunakan Rclone. Keunggulan Rclone adalah kemampuannya melakukan sinkronisasi real-time, sehingga data yang baru dibuat atau diperbarui dapat langsung diekspor tanpa interaksi manual tambahan dari penyerang.

Distribusi ransomware dilakukan dengan metode yang efisien dan luas. Storm-1175 sering menggunakan PDQ Deployer untuk menjalankan skrip seperti RunFileCopy.cmd yang menyebarkan payload Medusa ke seluruh jaringan. Dalam beberapa kasus, mereka bahkan menggunakan Group Policy untuk mendistribusikan ransomware secara massal, memanfaatkan hak istimewa tinggi yang telah diperoleh sebelumnya.

Meskipun taktik dan teknik yang digunakan Storm-1175 memiliki kemiripan dengan aktor ransomware lainnya, kecepatan dan konsistensi dalam eksekusi menjadikan mereka ancaman yang lebih sulit ditangani. Analisis terhadap aktivitas pasca-kompromi mereka memberikan wawasan penting bagi organisasi untuk memperkuat pertahanan, terutama dalam mendeteksi dan mengganggu aktivitas penyerang setelah akses awal berhasil dicapai.

Kasus ini menegaskan bahwa jendela waktu antara pengungkapan kerentanan dan penerapan patch menjadi titik kritis dalam keamanan siber modern. Organisasi yang gagal merespons dengan cepat terhadap disclosure kerentanan akan terus menjadi target empuk bagi aktor seperti Storm-1175, yang telah mengoptimalkan seluruh rantai serangan untuk memanfaatkan keterlambatan tersebut.

Baca Juga

Microsoft Threat Intelligence - Amerika-Israel dan Iran

Sumber:

Microsoft Threat Intelligence - Storm-1175

NVD-NIST

Apa Itu N-Day ?

Apa Itu Zero-Day

CISA-StopRasnwomeware

PaperCut-CVE

Laporan Terbaru: Peretas Iran Targetkan Cloud Microsoft 365 Lewat Password Spraying - 2026

Sebuah kampanye serangan siber berskala besar yang menargetkan lingkungan Microsoft 365 di Israel dan Uni Emirat Arab (UEA) terdeteksi tengah berlangsung, dengan indikasi kuat keterlibatan aktor ancaman yang memiliki keterkaitan dengan Iran. Aktivitas ini muncul di tengah meningkatnya ketegangan geopolitik di kawasan Timur Tengah, dan dinilai sebagai bagian dari upaya pengumpulan intelijen strategis oleh aktor negara.

Halini diungkap oleh Check Point Research, yang mengidentifikasi bahwa serangan dilakukan dalam tiga gelombang utama pada 3 Maret, 13 Maret, dan 23 Maret 2026. Menyatakan bahwa serangan ini menggunakan teknik password spraying, sebuah metode brute-force yang mencoba sejumlah kecil kata sandi umum terhadap banyak akun untuk menghindari deteksi berbasis threshold.

Pada tahap awal, penyerang melakukan pemindaian intensif terhadap ratusan organisasi, dengan fokus utama pada entitas yang berlokasi di Israel dan UEA. Aktivitas ini dijalankan melalui jaringan anonim seperti Tor, khususnya melalui exit nodes yang terus berubah untuk menghindari pemblokiran berbasis alamat IP. Selama proses ini, penyerang menyamarkan identitas mereka dengan menggunakan User-Agent yang meniru browser lawas seperti Internet Explorer 10, sebuah taktik yang dirancang untuk menghindari sistem deteksi modern yang lebih sensitif terhadap pola akses mencurigakan.

Ketika kredensial yang valid berhasil ditemukan, serangan memasuki fase infiltrasi. Dalam tahap ini, pelaku menggunakan alamat IP dari layanan VPN komersial seperti Windscribe dan NordVPN, yang dikonfigurasi agar tampak berasal dari lokasi geografis Israel. Pendekatan ini memungkinkan mereka untuk melewati pembatasan berbasis lokasi atau geo-restriction yang sering diterapkan dalam kebijakan keamanan organisasi.

Setelah mendapatkan akses, penyerang melanjutkan ke tahap eksfiltrasi dengan memanfaatkan kredensial yang sah untuk mengakses data sensitif, termasuk konten email pribadi. Dalam sejumlah kasus terbatas, aktivitas ini berujung pada pencurian data dari lingkungan yang telah dikompromikan. Namun, skala dan pola serangan menunjukkan bahwa tujuan utama kampanye ini lebih berfokus pada pengumpulan intelijen dibandingkan sabotase langsung. 

Serangan ini sama seperti yang pernah dilakukan oleh hacktivist kepada Iran yang di picu oleh perang Amerika-Israel bernama epic fury pada 28 Februari 2026

Microsoft mengaitkan aktivitas ini dengan kelompok ancaman negara yang dikenal sebagai Peach Sandstorm. Grup ini sebelumnya telah menargetkan sektor-sektor strategis seperti satelit, pertahanan, dan farmasi di berbagai wilayah dunia. Berdasarkan profil target dan pola aktivitas pasca-kompromi, Microsoft menilai bahwa akses awal yang diperoleh melalui kampanye ini kemungkinan digunakan untuk mendukung kepentingan intelijen negara Iran. 

Selain Peach Sandstorm, aktivitas serupa juga dikaitkan dengan entitas lain yang dikenal sebagai Gray Sandstorm, sebelumnya dilacak dengan identifier DEV-0343. Kelompok ini diketahui menggunakan teknik password spraying secara masif dengan meniru perilaku browser populer seperti Firefox dan Chrome, serta memanfaatkan jaringan proxy Tor dalam skala besar. Dalam satu organisasi, mereka dapat menargetkan puluhan hingga ratusan akun, dengan ribuan upaya autentikasi yang berasal dari ratusan hingga lebih dari seribu alamat IP unik.

Salah satu karakteristik teknis yang menonjol dari kampanye ini adalah penggunaan endpoint Microsoft Exchange seperti Autodiscover dan Exchange ActiveSync. Endpoint ini dimanfaatkan untuk enumerasi akun dan validasi kredensial, memungkinkan penyerang mempersempit target mereka secara efisien. Selain itu, ditemukan indikasi penggunaan alat otomatisasi yang memiliki kemiripan dengan tool open-source “o365spray,” yang secara khusus dirancang untuk melakukan enumerasi dan password spraying terhadap layanan Microsoft 365.

Menariknya, pola aktivitas menunjukkan bahwa puncak serangan sering terjadi antara pukul 04.00 hingga 11.00 UTC. Pola waktu ini dapat mencerminkan strategi operasional tertentu, baik untuk menghindari jam sibuk sistem keamanan maupun untuk menyesuaikan dengan zona waktu target.

Salah satu tantangan utama dalam mendeteksi dan merespons kampanye ini adalah tidak adanya indikator kompromi (IOC) yang statis. Penggunaan infrastruktur berbasis Tor dan rotasi IP yang agresif membuat pendekatan berbasis blacklist menjadi kurang efektif. Oleh karena itu, pendekatan deteksi berbasis perilaku menjadi krusial, termasuk analisis terhadap pola login yang tidak biasa, lonjakan traffic dari jaringan anonim, serta aktivitas enumerasi yang mencurigakan.

Microsoft mencatat bahwa dalam kasus di mana autentikasi berhasil dilakukan, aktor ancaman menggunakan kombinasi alat publik dan kustom untuk melakukan eksplorasi jaringan, mempertahankan akses (persistence), dan bergerak lateral di dalam sistem korban. Meskipun hanya sebagian kecil insiden yang berujung pada eksfiltrasi data, potensi risiko dari aktivitas pasca-kompromi tetap signifikan, terutama jika menyasar infrastruktur kritikal atau data sensitif.

Dalam konteks yang lebih luas, kampanye ini mencerminkan evolusi taktik aktor negara dalam operasi siber. Alih-alih mengandalkan eksploitasi zero-day yang kompleks, pendekatan seperti password spraying menawarkan efektivitas tinggi dengan kompleksitas relatif rendah, terutama ketika dikombinasikan dengan teknik penghindaran deteksi yang canggih.

Microsoft menyatakan bahwa mereka secara langsung memberi notifikasi kepada pelanggan yang menjadi target atau korban kampanye ini, serta menyediakan panduan untuk mengamankan akun dan infrastruktur mereka. Langkah ini menjadi bagian dari upaya yang lebih luas untuk meningkatkan kesadaran terhadap tradecraft terbaru yang digunakan oleh aktor ancaman negara.

Dengan meningkatnya volume aktivitas dan persistensi upaya akses terhadap target, organisasi yang menggunakan Microsoft 365 diimbau untuk memperkuat postur keamanan mereka. Ini mencakup penerapan autentikasi multi-faktor, pemantauan log secara aktif, serta deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola serangan seperti password spraying.

Kampanye ini memperlihatkan bahwa dalam tipe ancaman saat ini, serangan tidak selalu bergantung pada kerentanan teknis tingkat tinggi. Kredensial yang lemah dan praktik keamanan yang tidak konsisten tetap menjadi titik masuk utama bagi aktor ancaman yang terorganisir dengan baik dan memiliki sumber daya besar.

Baca Juga:

Amerika-Israel-Iran 

Email Direktur FBI Di Hack Iran

Sumber:

Check Point research

Tor Project

WindSribe

NordVPN

ATTCK-MITRE

Microsoft-Threat-Intelligence 1

Microsoft-Threat-Intelligence 2 

GitHub