Analisis Kampanye APT28 2026: Eksploitasi CVE-2026-21509 dan PRISMEX Targetkan Rantai Pasok Pertahanan Ukraina dan NATO

Eskalasi ancaman siber global kini tengah memuncak melalui kampanye terbaru dari APT28 (alias Fancy Bear atau Forest Blizzard). Sejak terdeteksi pada September 2025, operasi ini menunjukkan lonjakan aktivitas pada Januari 2026 dengan fokus serangan pada infrastruktur pertahanan Ukraina serta jalur logistik bantuan militer dan kemanusiaan NATO. Agresi ini mempertegas pola serangan sistematis yang telah dijalankan kelompok tersebut sejak tahun 2014.

Aktor ancaman yang berafiliasi dengan Rusia ini kembali membuktikan kapabilitas teknisnya dalam memanfaatkan zero-day exploit. Melalui kerentanan Microsoft Office berkode CVE-2026-21509 - Base Score: 7.8 HIGH, mereka melancarkan serangan presisi terhadap sektor pemerintahan, militer, dan infrastruktur vital di Eropa Tengah serta Timur. Yang mengkhawatirkan, penyiapan infrastruktur serangan terpantau telah dimulai dua minggu sebelum celah keamanan tersebut diumumkan secara resmi, sebuah indikasi kuat adanya akses awal terhadap rincian eksploitasi.

Selain CVE-2026-21509, indikasi kuat juga mengarah pada eksploitasi kerentanan kedua, yaitu CVE-2026-21513 - Base Score: 8.8 HIGH, yang berkaitan dengan bypass fitur keamanan dalam framework MSHTML milik Microsoft. Sampel eksploitasi untuk kerentanan ini terdeteksi di platform publik sebelum patch resmi dirilis, menunjukkan adanya eksploitasi zero-day di lingkungan nyata. Pola ini memperkuat dugaan bahwa pelaku memiliki kapabilitas intelijen yang memungkinkan mereka mengakses informasi kerentanan sebelum dipublikasikan secara luas.

Rantai serangan dimulai melalui teknik spear-phishing yang menargetkan individu dalam organisasi tertentu dengan email yang tampak kredibel. Subjek email sering kali berkaitan dengan isu-isu strategis seperti peringatan hidro-meteorologi, undangan program pelatihan militer, atau laporan penyelundupan senjata. Lampiran berupa dokumen RTF berbahaya menjadi titik awal eksploitasi, di mana ketika dibuka, dokumen tersebut memicu kerentanan CVE-2026-21509.

Eksploitasi ini memungkinkan bypass terhadap mekanisme keamanan OLE dan memaksa sistem korban untuk mengakses server WebDAV eksternal. Dari sini, sistem secara otomatis mengeksekusi file shortcut berbahaya dengan ekstensi .lnk. Dalam skenario yang diduga melibatkan CVE-2026-21513, file .lnk tersebut kemudian memanfaatkan teknik manipulasi DOM dan iframe bertingkat untuk mengeksekusi payload tanpa memunculkan peringatan keamanan kepada pengguna.

Terdapat konsistensi yang jelas pada infrastruktur command-and-control (C2) di seluruh rangkaian serangan, ditandai dengan penggunaan domain komunikasi yang tumpang tindih. Temuan ini mendukung teori bahwa aktor tersebut mengintegrasikan kedua kerentanan ke dalam satu exploit chain yang kompleks. Walaupun validasi eksternal masih terbatas, keselarasan waktu dan aset infrastruktur menjadi bukti kuat adanya keterkaitan operasional.

Operasi ini mengandalkan dua jalur payload utama, di mana PRISMEX muncul sebagai rangkaian malware yang paling dominan. Dengan arsitektur modular, PRISMEX memastikan infeksi tetap bertahan di sistem secara sinkron. Malware ini juga menggunakan teknik steganografi, menyisipkan kode jahat ke dalam gambar sebagai taktik kamuflase yang sangat efektif untuk mengecoh deteksi antivirus tradisional yang tidak menduga adanya ancaman di dalam file non-eksekutif.

Komponen pertama, PrismexSheet, merupakan dropper berbasis Excel yang menggunakan macro VBA untuk mengekstrak payload tersembunyi dari dalam file. Selanjutnya, PrismexDrop bertugas menyiapkan lingkungan sistem dan membangun persistensi melalui teknik COM hijacking. Tahap berikutnya melibatkan PrismexLoader, yang menggunakan algoritma khusus bernama Bit Plane Round Robin untuk mengekstrak payload dari gambar PNG. Tahap akhir adalah PrismexStager, yang menggunakan framework open-source Covenant untuk membangun komunikasi terenkripsi dengan server C&C melalui layanan cloud yang sah.

Penggunaan Covenant dalam konteks ini bukan hal baru, namun integrasinya dengan eksploitasi kerentanan terbaru menunjukkan peningkatan signifikan dalam kecepatan adaptasi kelompok ini. Framework tersebut memungkinkan komunikasi yang terenkripsi dan fleksibel, serta mendukung eksekusi payload secara dinamis tanpa meninggalkan jejak file di sistem, sebuah pendekatan yang dikenal sebagai fileless execution.

Operasi ini mengungkap adanya integrasi dengan ekosistem malware yang lebih luas, khususnya NotDoor yang sempat dianalisis pada awal 2025. PRISMEX diidentifikasi sebagai evolusi dari kerangka kerja tersebut, yang kini memperluas jangkauannya dengan mengintegrasikan vektor infeksi melalui eksploitasi celah keamanan terbaru. Fenomena ini merefleksikan pergeseran strategi aktor ancaman yang kini memprioritaskan fleksibilitas operasional dan keberlanjutan akses jangka panjang di atas sekadar eksploitasi teknis sesaat.

Dari sisi target, kampanye ini menunjukkan fokus strategis pada rantai pasok pertahanan Ukraina. Sektor yang disasar mencakup lembaga eksekutif pusat, layanan darurat, institusi meteorologi, serta entitas militer. Data meteorologi, misalnya, memiliki peran penting dalam perencanaan operasi militer seperti penyesuaian tembakan artileri dan navigasi drone. Dengan mengakses informasi ini, pelaku dapat memperoleh keuntungan taktis di lapangan.

Di luar Ukraina, negara-negara yang berperan sebagai jalur logistik bantuan militer juga menjadi target. Polandia, sebagai hub utama transportasi darat, serta Romania, Slovenia, dan Turki yang memiliki peran dalam jalur laut dan distribusi regional, termasuk dalam cakupan serangan. Negara-negara seperti Slovakia dan Republik Ceko yang terlibat dalam dukungan logistik dan politik juga tidak luput dari perhatian.

Pemilihan target dan teknik rekayasa sosial yang digunakan menunjukkan pemahaman mendalam terhadap struktur organisasi dan pola komunikasi antar lembaga. Email yang tampak berasal dari institusi terpercaya seperti kepolisian perbatasan atau lembaga meteorologi meningkatkan kemungkinan korban membuka lampiran berbahaya. Pendekatan ini menegaskan bahwa aspek manusia tetap menjadi titik lemah utama dalam banyak serangan siber.

Laporan dari berbagai organisasi seperti CERT-UA, Zscaler ThreatLabz, dan Synaptic Systems memberikan perspektif tambahan yang memperkuat analisis terhadap kampanye ini. Masing-masing menyoroti aspek berbeda, mulai dari teknik eksploitasi hingga infrastruktur dan payload yang digunakan. Konsistensi temuan antar lembaga ini memperkuat validitas analisis dan menunjukkan skala serta kompleksitas operasi yang dijalankan.

Rangkaian serangan ini mencerminkan lonjakan kapabilitas APT28 yang kian canggih. Integrasi cepat antara kerentanan zero-day dengan sistem PRISMEX yang modular menunjukkan bahwa musuh bekerja dengan sangat terencana. Organisasi yang terhubung dengan ekosistem pertahanan Ukraina harus melihat kampanye ini sebagai peringatan serius. Strategi pertahanan kini tidak bisa lagi hanya bersifat reaktif, melainkan harus mengutamakan respons cepat dan mitigasi berlapis untuk menghadapi ancaman yang kian dinamis.

Sumber:

Ethical Hacking Indonesia

NVD-NIST

Kaspersky - Spear-Phising

CERT-UA

Zscaler ThreatLabz - APT28 Leverages CVE-2026-21509 in Operation Neusploit

Synaptic Systems - Geofencing as a Targeting Signal (CVE-2026-21509 Campaign)

FrostArmada: Eksploitasi Router dan Pembajakan DNS untuk Eksfiltrasi Kredensial Global Terungkap - DNS Hijacking

Investigasi terbaru dari Black Lotus Labs mengungkap kampanye siber berskala global yang diberi nama FrostArmada, yang dikaitkan dengan aktor ancaman Forest Blizzard. Kampanye ini menunjukkan evolusi taktik yang signifikan dalam operasi pengumpulan intelijen berbasis jaringan, dengan fokus utama pada eksploitasi perangkat edge seperti router dan manipulasi sistem Domain Name System (DNS) untuk mencuri kredensial autentikasi.

"Forest Blizzard (sebelumnya dikenal sebagai STRONTIUM) menggunakan berbagai teknik akses awal, termasuk eksploitasi kerentanan pada aplikasi yang terhubung ke internet (web-facing applications). Untuk mendapatkan kredensial, mereka memanfaatkan spear phishing serta penggunaan alat otomatis untuk serangan password spray atau brute force yang dioperasikan melalui jaringan TOR. Forest Blizzard memiliki kemahiran yang setara dalam membobol lingkungan infrastruktur lokal (on-premises) maupun yang berbasis cloud, serta menggunakan perangkat lunak kustom dan malware khusus untuk mendukung operasi tersebut" Microsoft Threat Intelligence

Forest Blizzard secara strategis memadukan inovasi baru dengan taktik klasik dalam kampanye terbarunya. Dengan mengoperasikan infrastruktur serangan milik sendiri, aktor ini secara spesifik mengincar entitas vital seperti sektor pemerintahan, diplomasi, penegakan hukum, hingga infrastruktur email pihak ketiga untuk kepentingan intelijen mereka.

Aktivitas awal kampanye ini terdeteksi sejak Mei 2025 dalam skala terbatas. Namun, eskalasi besar terjadi segera setelah National Cyber Security Centre merilis laporan berjudul Authentic Antics pada 5 Agustus 2025. Laporan tersebut mengungkap alat malware yang digunakan untuk mencuri kredensial Microsoft Office. Hanya sehari setelah publikasi laporan tersebut, para peneliti mengamati lonjakan eksploitasi router secara luas yang disertai dengan teknik pengalihan DNS. Pola ini menunjukkan kemampuan adaptasi cepat dari aktor ancaman dalam merespons eksposur publik terhadap taktik mereka.

Teknik utama FrostArmada melibatkan eksploitasi akses remote pada router MikroTik dan TP-Link guna mengalihkan resolver DNS. Manipulasi ini menyebar secara sistematis melalui DHCP ke seluruh titik akhir di jaringan lokal, memfasilitasi kontrol lalu lintas data dan eksfiltrasi informasi yang sulit terdeteksi oleh pengguna akhir.

Saat pengguna mengakses layanan login, DNS yang telah dikompromi akan membelokkan trafik ke node Attacker-in-the-Middle (AitM) yang menyamar sebagai layanan asli. Meski sering memicu peringatan sertifikat keamanan, pengguna yang mengabaikan peringatan tersebut berisiko terkena teknik break and inspect. Di sinilah aktor ancaman mencegat lalu lintas data untuk mengambil kredensial hingga token OAuth tepat setelah proses MFA selesai.

Dibandingkan menggunakan kerentanan zero-day, serangan ini lebih memilih memanfaatkan kelemahan mendasar pada sistem DNS. Dengan memanipulasi jalur lalu lintas data, aktor ancaman dapat mengumpulkan informasi rahasia secara efisien tanpa perlu melakukan peretasan langsung pada infrastruktur sistem target.

Investigasi mengungkap adanya pembagian kerja dalam kampanye ini melalui dua klaster utama. Klaster pertama, yang diidentifikasi sebagai "expansion team", bertanggung jawab untuk memperluas jangkauan infeksi dengan mengeksploitasi infrastruktur jaringan secara massal. Tim ini mengincar antarmuka web router melalui kerentanan (CVE) yang sudah ada, terutama pada perangkat usang. Selain router, perangkat seperti firewall enterprise dari Fortinet serta solusi dari vendor menengah seperti Nethesis juga menjadi target utama.

Setelah perangkat berhasil dikompromikan, lalu lintas DNS diarahkan ke server resolusi yang dikendalikan aktor, yang berfungsi seperti resolver normal namun secara selektif memanipulasi permintaan terhadap domain tertentu. Teknik ini memberikan tingkat stealth yang tinggi karena sebagian besar lalu lintas tetap berjalan normal, sehingga sulit dideteksi oleh sistem monitoring tradisional.

Salah satu temuan paling signifikan adalah kemampuan aktor untuk mengumpulkan token OAuth dari workstation dalam jaringan lokal yang terhubung ke router yang telah dikompromikan. Ini menunjukkan bahwa dampak serangan tidak terbatas pada perangkat jaringan saja, tetapi juga meluas ke endpoint pengguna tanpa eksploitasi langsung pada perangkat tersebut.

Data telemetri menunjukkan bahwa puncak aktivitas terjadi pada Desember 2025, dengan lebih dari 18.000 alamat IP unik dari setidaknya 120 negara terlibat dalam interaksi dengan infrastruktur aktor. Dalam snapshot selama satu bulan, tercatat lebih dari 290.000 alamat IP yang mengirimkan permintaan DNS ke server yang dikendalikan aktor, meskipun jumlah korban dengan tingkat kepercayaan sedang diperkirakan sekitar 18.000 berdasarkan frekuensi interaksi.

Peneliti juga mengidentifikasi beberapa node AitM utama yang digunakan dalam kampanye ini. Node pertama mulai aktif pada Mei 2025 dan menerima permintaan DNS dari entitas pemerintah Afghanistan serta firewall di Italia. Node kedua menunjukkan peningkatan aktivitas signifikan pada 6 Agustus 2025, bertepatan dengan eskalasi pasca publikasi laporan NCSC. Node ini juga mendukung DNS over TLS (DoT), yang meningkatkan kompleksitas analisis dan deteksi.

Menariknya, pola koneksi dari node AitM ke berbagai layanan email menunjukkan bahwa sebagian besar kompromi terjadi pada tingkat akun individu, bukan pada infrastruktur backend penyedia layanan. Hal ini menegaskan bahwa tujuan utama kampanye ini adalah pengumpulan intelijen melalui akses email, bukan sabotase sistem secara langsung.

Forest Blizzard sendiri dikenal sebagai aktor yang terkait dengan Unit 26165 dari GRU Rusia (Fancy Bear). Mereka memiliki rekam jejak panjang dalam operasi siber, termasuk serangan password spraying terhadap layanan Microsoft pada 2021 dan pergeseran ke spear phishing pada 2023 ketika adopsi multi-factor authentication meningkat. Dalam kampanye sebelumnya, mereka juga menggunakan alat seperti “NotDoor” untuk memperdalam akses ke sistem target.

Kampanye FrostArmada menunjukkan bahwa meskipun teknik serangan berevolusi, tujuan strategis aktor tetap konsisten, yaitu memperoleh akses terhadap komunikasi sensitif. Adaptasi cepat terhadap eksposur publik menunjukkan tingkat kematangan operasional yang tinggi dan kemungkinan besar aktivitas serupa akan terus berlanjut dengan metode yang dimodifikasi.

Sebagai respons terhadap temuan ini, peneliti telah menambahkan indikator kompromi (IOC) ke dalam sistem deteksi mereka untuk melindungi pelanggan/pengguna/user mereka. Organisasi yang beroperasi di sektor pemerintah, pertahanan, logistik, dan IT disarankan untuk meningkatkan hardening sistem, memantau aktivitas akun secara ketat, serta memastikan semua perangkat jaringan diperbarui dan tidak menggunakan perangkat yang sudah end-of-life.

Mitigasi tambahan seperti implementasi certificate pinning pada perangkat korporasi sangat krusial untuk mendeteksi anomali pada lalu lintas data. Penguatan kebijakan autentikasi serta pembatasan akses remote administratif menjadi langkah kunci dalam meminimalkan risiko serangan serupa. Kampanye FrostArmada ini menjadi peringatan keras bahwa infrastruktur edge sering kali menjadi celah yang terlupakan. Keamanan yang hanya berfokus pada endpoint tidak lagi mencukupi tanpa adanya perlindungan komprehensif pada lapisan jaringan.

Sumber:

Lumen - FrostArmada: All thriller, no (malware) filler

Ethical Hacking Indonesia - Evolusi ClickFix: Taktik DNS Staging, Lumma Stealer, dan Gelombang Malware Global yang Menargetkan Windows serta macOS 

Microsoft Threat Intelligence - Nation State Actor Forest Blizzard

National Cyber Security Centre - Malware Analysis Report AUTHENTIC ANTICS

BleepingComputer.com - Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins

MITRE-ATTCK - Adversary-in-the-Middle

Ethical Hacking Indonesia - Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Ethical Hacking Indonesia - Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

OAuth 2.0 - OAuth Access Tokens

WikiPedia - Fancy Bear

Analisis Storm-1175: Operasi Ransomware Cepat yang Eksploitasi Celah N-Day dan Zero-Day dalam Hitungan Jam

Gelombang serangan ransomware dengan tempo tinggi kembali menjadi perhatian setelah Microsoft Threat Intelligence mengungkap aktivitas aktor siber bermotif finansial yang dilacak sebagai Storm-1175. Kelompok ini menunjukkan pola operasi yang agresif dan sistematis, memanfaatkan celah keamanan yang baru diungkap untuk menembus sistem yang terpapar ke internet sebelum organisasi sempat menerapkan patch secara luas. Strategi tersebut menempatkan mereka dalam kategori aktor dengan kemampuan eksekusi cepat, yang mampu mengubah celah teknis menjadi insiden besar hanya dalam hitungan jam hingga beberapa hari.

"Storm-1175 bergerak sangat cepat mulai dari akses awal hingga eksfiltrasi data dan penyebaran ransomware Medusa, seringkali dalam hitungan hari dan, dalam beberapa kasus, dalam waktu kurang dari 24 jam" ungkap Microsoft Threat Intelligence.

Storm-1175 mengandalkan eksploitasi N-day, yaitu kerentanan yang telah dipublikasikan tetapi belum ditambal oleh banyak organisasi. Namun, dalam beberapa kasus, kelompok ini juga terdeteksi menggunakan zero-day kerentanan yang belum diketahui publik bahkan hingga satu minggu sebelum pengungkapan resmi. Kombinasi ini memberi mereka keunggulan signifikan dalam fase awal serangan, terutama terhadap sistem yang menghadap publik seperti server web, layanan manajemen jarak jauh, dan infrastruktur enterprise lainnya.

Setelah mendapatkan akses awal, Storm-1175 bergerak sangat cepat. Dalam banyak kasus, transisi dari eksploitasi awal ke eksfiltrasi data dan deployment ransomware dapat terjadi dalam waktu kurang dari 24 jam, meskipun sebagian serangan berlangsung selama lima hingga enam hari. Ransomware yang digunakan dalam operasi ini adalah Medusa ransomware, yang dikenal dengan model double extortion menggabungkan enkripsi data dengan ancaman kebocoran data untuk meningkatkan tekanan terhadap korban.

Dampak dari kampanye ini tidak terbatas pada satu sektor. Organisasi layanan kesehatan menjadi target utama, diikuti oleh sektor pendidikan, jasa profesional, dan keuangan. Wilayah yang terdampak signifikan meliputi Australia, Inggris, dan Amerika Serikat, menunjukkan bahwa operasi Storm-1175 memiliki cakupan global dengan fokus pada target bernilai tinggi dan kritikal.

Sejak 2023, lebih dari 16 kerentanan telah dieksploitasi oleh kelompok ini. Beberapa di antaranya mencakup sistem populer seperti Microsoft Exchange, Ivanti Connect Secure, JetBrains TeamCity, hingga SAP NetWeaver. Salah satu contoh paling mencolok adalah eksploitasi terhadap CVE-2025-31324 pada SAP NetWeaver, di mana celah tersebut dipublikasikan pada 24 April 2025 dan langsung dimanfaatkan oleh Storm-1175 sehari setelahnya.

Berikut list CVE yang kemudian digunakan oleh Storm-1175 dalam operasi serangan yang pernah mereka lakukan:

1. CVE-2023-21529 (Microsoft Exchange) - Base Score: 8.8 HIGH

"Penyerang yang terautentikasi dapat melakukan eksekusi kode jarak jauh (remote code execution) pada Microsoft Exchange Server, yang berpotensi menyebabkan penguasaan server sepenuhnya, pencurian data, serta pergerakan lateral (lateral movement) di dalam lingkungan perusahaan" yang diberitakan oleh SentinelOne

2. CVE-2023-27351 - Base Score: 8.2 HIGH dan CVE-2023-27350 - Base Score: 9.8 CRITICAL (Papercut) 

CVE-2023-27351 "Kerentanan ini memungkinkan penyerang jarak jauh untuk melewati autentikasi pada instalasi PaperCut NG 22.0.5 (Build 63914) yang terdampak." ungkap pentesttool

 CVE-2023-27350 "Setelah berhasil mengakses server, penyerang dapat memanfaatkan fitur-fitur yang ada pada perangkat lunak PaperCut untuk melakukan eksekusi kode jarak jauh (remote code execution)." ungkap peneliti CISA

3. CVE-2023-46805 danCVE-2024-21887 (Ivanti Connect Secure and Policy Secure)

4. CVE-2024-1709 and CVE-2024-1708 (ConnectWise ScreenConnect)

5. CVE-2024-27198 and CVE-2024-27199 (JetBrains TeamCity)

6. CVE-2024-57726, CVE-2024-57727, and CVE-2024-57728 (SimpleHelp)

7. CVE‑2025‑31161 (CrushFTP)

8. CVE-2025-10035 (GoAnywhere MFT)

9. CVE-2025-52691 and CVE-2026-23760 (SmarterMail)

10. CVE-2026-1731 (BeyondTrust)

Untuk Pembaca: Untuk melihat Base Score yang menjadi indikator keparahan dari sebuah vulnerabiliti bisa melalui situs CISA atau NVD.

Selain eksploitasi tunggal, Storm-1175 juga menunjukkan kemampuan chaining exploit, yaitu menggabungkan beberapa kerentanan untuk mencapai eksekusi kode jarak jauh (RCE) atau memperluas akses dalam sistem yang telah dikompromikan. Kemampuan ini memperkuat posisi mereka sebagai aktor dengan tingkat kematangan operasional yang tinggi.

Tidak hanya terbatas pada sistem berbasis Windows, Storm-1175 juga teridentifikasi menargetkan lingkungan Linux. Pada akhir 2024, eksploitasi terhadap instance rentan dari Oracle WebLogic ditemukan di berbagai organisasi, meskipun detail kerentanan spesifik yang digunakan tidak berhasil diidentifikasi. Hal ini menandakan fleksibilitas taktis kelompok tersebut dalam menghadapi berbagai arsitektur sistem.

Dalam fase pasca-kompromi, Storm-1175 mengikuti pola yang cukup konsisten. Mereka membuat web shell atau menanam payload akses jarak jauh untuk mempertahankan foothold dalam sistem. Setelah itu, mereka menciptakan akun pengguna baru dan memberikan hak administratif sebagai bentuk persistence. Akun ini kemudian digunakan untuk melakukan reconnaissance dan pergerakan lateral ke sistem lain dalam jaringan.

Untuk mempercepat pergerakan, Storm-1175 memanfaatkan teknik living-off-the-land dengan menggunakan alat bawaan sistem seperti PowerShell dan PsExec. Mereka juga menggunakan tunnel berbasis Cloudflare yang disamarkan sebagai proses sah seperti conhost.exe untuk menghindari deteksi. Jika akses Remote Desktop Protocol (RDP) tidak tersedia, mereka bahkan memodifikasi kebijakan firewall Windows untuk mengaktifkannya secara paksa.

Selain itu, kelompok ini sangat bergantung pada perangkat remote monitoring and management (RMM) untuk memperluas kontrol. Berbagai tools seperti AnyDesk, Atera RMM, dan ConnectWise ScreenConnect digunakan untuk mengelola sistem yang telah dikompromikan secara efisien dan tersembunyi.

Dalam hal pencurian kredensial, Storm-1175 memanfaatkan teknik klasik namun efektif. Mereka memodifikasi registry Windows untuk mengaktifkan caching kredensial melalui WDigest atau melakukan dump LSASS menggunakan Task Manager. Kedua teknik ini memerlukan hak administratif lokal, yang biasanya sudah mereka peroleh di tahap awal kompromi. Data yang diperoleh kemudian digunakan untuk eskalasi hak akses lebih lanjut, termasuk akses ke domain controller.

Salah satu langkah kritis dalam serangan adalah pengambilan file NTDS.dit, yaitu database Active Directory yang berisi informasi pengguna dan password yang dapat di-crack secara offline. Dengan akses ini, Storm-1175 dapat menguasai seluruh domain jaringan korban. Mereka juga memanfaatkan akses ke Security Account Manager (SAM) untuk mendapatkan kredensial tambahan.

Untuk menghindari deteksi, Storm-1175 secara aktif memanipulasi konfigurasi antivirus, termasuk mengubah pengaturan Microsoft Defender Antivirus melalui registry. Hal ini memungkinkan payload ransomware dijalankan tanpa hambatan dari mekanisme proteksi bawaan sistem.

Dalam tahap eksfiltrasi data, mereka menggunakan kombinasi alat kompresi dan sinkronisasi. File dikumpulkan menggunakan Bandizip, kemudian dikirim ke infrastruktur cloud menggunakan Rclone. Keunggulan Rclone adalah kemampuannya melakukan sinkronisasi real-time, sehingga data yang baru dibuat atau diperbarui dapat langsung diekspor tanpa interaksi manual tambahan dari penyerang.

Distribusi ransomware dilakukan dengan metode yang efisien dan luas. Storm-1175 sering menggunakan PDQ Deployer untuk menjalankan skrip seperti RunFileCopy.cmd yang menyebarkan payload Medusa ke seluruh jaringan. Dalam beberapa kasus, mereka bahkan menggunakan Group Policy untuk mendistribusikan ransomware secara massal, memanfaatkan hak istimewa tinggi yang telah diperoleh sebelumnya.

Meskipun taktik dan teknik yang digunakan Storm-1175 memiliki kemiripan dengan aktor ransomware lainnya, kecepatan dan konsistensi dalam eksekusi menjadikan mereka ancaman yang lebih sulit ditangani. Analisis terhadap aktivitas pasca-kompromi mereka memberikan wawasan penting bagi organisasi untuk memperkuat pertahanan, terutama dalam mendeteksi dan mengganggu aktivitas penyerang setelah akses awal berhasil dicapai.

Kasus ini menegaskan bahwa jendela waktu antara pengungkapan kerentanan dan penerapan patch menjadi titik kritis dalam keamanan siber modern. Organisasi yang gagal merespons dengan cepat terhadap disclosure kerentanan akan terus menjadi target empuk bagi aktor seperti Storm-1175, yang telah mengoptimalkan seluruh rantai serangan untuk memanfaatkan keterlambatan tersebut.

Baca Juga

Microsoft Threat Intelligence - Amerika-Israel dan Iran

Sumber:

Microsoft Threat Intelligence - Storm-1175

NVD-NIST

Apa Itu N-Day ?

Apa Itu Zero-Day

CISA-StopRasnwomeware

PaperCut-CVE

Laporan Terbaru: Peretas Iran Targetkan Cloud Microsoft 365 Lewat Password Spraying - 2026

Sebuah kampanye serangan siber berskala besar yang menargetkan lingkungan Microsoft 365 di Israel dan Uni Emirat Arab (UEA) terdeteksi tengah berlangsung, dengan indikasi kuat keterlibatan aktor ancaman yang memiliki keterkaitan dengan Iran. Aktivitas ini muncul di tengah meningkatnya ketegangan geopolitik di kawasan Timur Tengah, dan dinilai sebagai bagian dari upaya pengumpulan intelijen strategis oleh aktor negara.

Halini diungkap oleh Check Point Research, yang mengidentifikasi bahwa serangan dilakukan dalam tiga gelombang utama pada 3 Maret, 13 Maret, dan 23 Maret 2026. Menyatakan bahwa serangan ini menggunakan teknik password spraying, sebuah metode brute-force yang mencoba sejumlah kecil kata sandi umum terhadap banyak akun untuk menghindari deteksi berbasis threshold.

Pada tahap awal, penyerang melakukan pemindaian intensif terhadap ratusan organisasi, dengan fokus utama pada entitas yang berlokasi di Israel dan UEA. Aktivitas ini dijalankan melalui jaringan anonim seperti Tor, khususnya melalui exit nodes yang terus berubah untuk menghindari pemblokiran berbasis alamat IP. Selama proses ini, penyerang menyamarkan identitas mereka dengan menggunakan User-Agent yang meniru browser lawas seperti Internet Explorer 10, sebuah taktik yang dirancang untuk menghindari sistem deteksi modern yang lebih sensitif terhadap pola akses mencurigakan.

Ketika kredensial yang valid berhasil ditemukan, serangan memasuki fase infiltrasi. Dalam tahap ini, pelaku menggunakan alamat IP dari layanan VPN komersial seperti Windscribe dan NordVPN, yang dikonfigurasi agar tampak berasal dari lokasi geografis Israel. Pendekatan ini memungkinkan mereka untuk melewati pembatasan berbasis lokasi atau geo-restriction yang sering diterapkan dalam kebijakan keamanan organisasi.

Setelah mendapatkan akses, penyerang melanjutkan ke tahap eksfiltrasi dengan memanfaatkan kredensial yang sah untuk mengakses data sensitif, termasuk konten email pribadi. Dalam sejumlah kasus terbatas, aktivitas ini berujung pada pencurian data dari lingkungan yang telah dikompromikan. Namun, skala dan pola serangan menunjukkan bahwa tujuan utama kampanye ini lebih berfokus pada pengumpulan intelijen dibandingkan sabotase langsung. 

Serangan ini sama seperti yang pernah dilakukan oleh hacktivist kepada Iran yang di picu oleh perang Amerika-Israel bernama epic fury pada 28 Februari 2026

Microsoft mengaitkan aktivitas ini dengan kelompok ancaman negara yang dikenal sebagai Peach Sandstorm. Grup ini sebelumnya telah menargetkan sektor-sektor strategis seperti satelit, pertahanan, dan farmasi di berbagai wilayah dunia. Berdasarkan profil target dan pola aktivitas pasca-kompromi, Microsoft menilai bahwa akses awal yang diperoleh melalui kampanye ini kemungkinan digunakan untuk mendukung kepentingan intelijen negara Iran. 

Selain Peach Sandstorm, aktivitas serupa juga dikaitkan dengan entitas lain yang dikenal sebagai Gray Sandstorm, sebelumnya dilacak dengan identifier DEV-0343. Kelompok ini diketahui menggunakan teknik password spraying secara masif dengan meniru perilaku browser populer seperti Firefox dan Chrome, serta memanfaatkan jaringan proxy Tor dalam skala besar. Dalam satu organisasi, mereka dapat menargetkan puluhan hingga ratusan akun, dengan ribuan upaya autentikasi yang berasal dari ratusan hingga lebih dari seribu alamat IP unik.

Salah satu karakteristik teknis yang menonjol dari kampanye ini adalah penggunaan endpoint Microsoft Exchange seperti Autodiscover dan Exchange ActiveSync. Endpoint ini dimanfaatkan untuk enumerasi akun dan validasi kredensial, memungkinkan penyerang mempersempit target mereka secara efisien. Selain itu, ditemukan indikasi penggunaan alat otomatisasi yang memiliki kemiripan dengan tool open-source “o365spray,” yang secara khusus dirancang untuk melakukan enumerasi dan password spraying terhadap layanan Microsoft 365.

Menariknya, pola aktivitas menunjukkan bahwa puncak serangan sering terjadi antara pukul 04.00 hingga 11.00 UTC. Pola waktu ini dapat mencerminkan strategi operasional tertentu, baik untuk menghindari jam sibuk sistem keamanan maupun untuk menyesuaikan dengan zona waktu target.

Salah satu tantangan utama dalam mendeteksi dan merespons kampanye ini adalah tidak adanya indikator kompromi (IOC) yang statis. Penggunaan infrastruktur berbasis Tor dan rotasi IP yang agresif membuat pendekatan berbasis blacklist menjadi kurang efektif. Oleh karena itu, pendekatan deteksi berbasis perilaku menjadi krusial, termasuk analisis terhadap pola login yang tidak biasa, lonjakan traffic dari jaringan anonim, serta aktivitas enumerasi yang mencurigakan.

Microsoft mencatat bahwa dalam kasus di mana autentikasi berhasil dilakukan, aktor ancaman menggunakan kombinasi alat publik dan kustom untuk melakukan eksplorasi jaringan, mempertahankan akses (persistence), dan bergerak lateral di dalam sistem korban. Meskipun hanya sebagian kecil insiden yang berujung pada eksfiltrasi data, potensi risiko dari aktivitas pasca-kompromi tetap signifikan, terutama jika menyasar infrastruktur kritikal atau data sensitif.

Dalam konteks yang lebih luas, kampanye ini mencerminkan evolusi taktik aktor negara dalam operasi siber. Alih-alih mengandalkan eksploitasi zero-day yang kompleks, pendekatan seperti password spraying menawarkan efektivitas tinggi dengan kompleksitas relatif rendah, terutama ketika dikombinasikan dengan teknik penghindaran deteksi yang canggih.

Microsoft menyatakan bahwa mereka secara langsung memberi notifikasi kepada pelanggan yang menjadi target atau korban kampanye ini, serta menyediakan panduan untuk mengamankan akun dan infrastruktur mereka. Langkah ini menjadi bagian dari upaya yang lebih luas untuk meningkatkan kesadaran terhadap tradecraft terbaru yang digunakan oleh aktor ancaman negara.

Dengan meningkatnya volume aktivitas dan persistensi upaya akses terhadap target, organisasi yang menggunakan Microsoft 365 diimbau untuk memperkuat postur keamanan mereka. Ini mencakup penerapan autentikasi multi-faktor, pemantauan log secara aktif, serta deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola serangan seperti password spraying.

Kampanye ini memperlihatkan bahwa dalam tipe ancaman saat ini, serangan tidak selalu bergantung pada kerentanan teknis tingkat tinggi. Kredensial yang lemah dan praktik keamanan yang tidak konsisten tetap menjadi titik masuk utama bagi aktor ancaman yang terorganisir dengan baik dan memiliki sumber daya besar.

Baca Juga:

Amerika-Israel-Iran 

Email Direktur FBI Di Hack Iran

Sumber:

Check Point research

Tor Project

WindSribe

NordVPN

ATTCK-MITRE

Microsoft-Threat-Intelligence 1

Microsoft-Threat-Intelligence 2 

GitHub 

Kerentanan Kritis FortiClient EMS Aktif Dieksploitasi di Internet, Fortinet Rilis Hotfix Darurat untuk Cegah Eksekusi Kode Ilegal

Fortinet mengonfirmasi adanya eksploitasi aktif terhadap kerentanan kritis pada FortiClient Enterprise Management Server (EMS), yang memungkinkan penyerang tanpa autentikasi untuk mengeksekusi perintah atau kode secara tidak sah melalui permintaan yang dirancang secara khusus. Kerentanan ini diklasifikasikan sebagai masalah improper access control dengan referensi CWE-284, yang berdampak langsung pada mekanisme autentikasi dan otorisasi dalam sistem.

Menurut informasi resmi, kerentanan ini telah diamati dieksploitasi secara langsung di lingkungan nyata atau di Internet secara bebas, yang menandakan bahwa risiko bukan lagi bersifat teori atau informasi biasa. Penyerang dapat memanfaatkan celah ini untuk mengakses fungsi administratif tanpa kredensial, membuka jalur bagi eksekusi perintah berbahaya dari jarak jauh. Dalam konteks infrastruktur enterprise, kondisi ini berpotensi mengarah pada kompromi penuh terhadap sistem manajemen endpoint.

Fortinet merespons dengan merilis hotfix khusus untuk pengguna FortiClient EMS versi 7.4.5 dan 7.4.6. Patch ini dirancang untuk menutup celah keamanan secara cepat tanpa menunggu rilis versi mayor berikutnya. Perusahaan juga mengonfirmasi bahwa perbaikan permanen akan tersedia dalam versi 7.4.7 yang akan datang. Untuk sementara, penerapan hotfix yang tersedia disebut cukup untuk sepenuhnya memitigasi risiko eksploitasi.

Versi yang terdampak secara spesifik mencakup FortiClient EMS 7.4.5 hingga 7.4.6, sementara versi 7.2 dinyatakan tidak terpengaruh. Di sisi lain, kerentanan berbeda yang terkait dengan SQL Injection juga diidentifikasi pada versi 7.4.4 (tenable). Kerentanan ini, yang terdaftar sebagai CVE-2026-21643, memiliki tingkat keparahan tinggi dengan skor CVSS 9.8 berdasarkan penilaian dari Fortinet. Eksploitasi dilakukan melalui permintaan HTTP yang dirancang khusus, memungkinkan eksekusi kode tanpa autentikasi.

Dalam kerentanan SQL Injection tersebut, kelemahan terjadi akibat improper neutralization terhadap elemen khusus dalam perintah SQL, yang dikategorikan dalam CWE-89. Dengan memanfaatkan celah ini, penyerang dapat menyisipkan query berbahaya ke dalam sistem backend, yang pada akhirnya memungkinkan akses tidak sah ke database, manipulasi data, hingga eksekusi perintah sistem.

Fortinet menegaskan bahwa eksploitasi terhadap kerentanan SQL Injection ini juga telah terdeteksi di lingkungan nyata. Hal ini memperkuat urgensi bagi organisasi untuk segera melakukan pembaruan sistem ke versi yang telah diperbaiki. Pengguna FortiClient EMS 7.4.4 disarankan untuk segera melakukan upgrade ke versi 7.4.5 atau yang lebih baru guna menutup celah tersebut. (di konoha keknya tunggu kesebar dulu xixixi)

Selain merilis patch, Fortinet juga memberikan panduan teknis terkait penerapan hotfix. Paket hotfix ini hanya mencakup subset dari binary EMS yang relevan dengan permasalahan tertentu, sehingga dapat mengurangi risiko efek samping yang tidak diinginkan. Pendekatan ini memungkinkan distribusi patch dilakukan dengan cepat tanpa mengganggu stabilitas sistem secara keseluruhan.

Proses penerapan hotfix melibatkan beberapa tahap teknis, termasuk pengunduhan paket dari portal dukungan Fortinet, transfer file ke server EMS menggunakan protokol seperti SCP atau SFTP, serta eksekusi perintah khusus melalui antarmuka command line. Pada lingkungan berbasis Linux atau virtual appliance, administrator perlu mengakses sistem melalui SSH dan menjalankan perintah untuk menerapkan patch secara langsung.

Selama proses instalasi, sistem akan melakukan serangkaian langkah seperti verifikasi checksum, ekstraksi paket, pencadangan file lama, serta penggantian komponen yang terdampak. Dalam beberapa kasus, layanan tertentu seperti apache2 akan dihentikan sementara untuk memastikan integritas proses pembaruan. Selain itu, skrip tambahan dapat dijalankan untuk memperbarui konfigurasi sistem atau melakukan perubahan pada database internal.

Setelah proses selesai, administrator dapat memverifikasi status hotfix melalui perintah khusus yang menampilkan daftar patch yang telah diterapkan. Status “applied” menjadi indikator bahwa pembaruan telah berhasil diinstal dan sistem telah terlindungi dari kerentanan yang ditangani oleh patch tersebut.

Kasus ini kembali menyoroti pentingnya respons cepat terhadap kerentanan yang telah dieksploitasi secara aktif. Dalam banyak insiden, jeda waktu antara publikasi kerentanan dan penerapan patch menjadi faktor kritis yang menentukan tingkat dampak terhadap organisasi. Dengan adanya eksploitasi tanpa autentikasi, risiko terhadap sistem yang belum diperbarui menjadi sangat tinggi.

Di sisi lain, penggunaan hotfix sebagai solusi sementara mencerminkan pendekatan pragmatis dalam manajemen kerentanan. Alih-alih menunggu siklus rilis reguler, vendor dapat memberikan mitigasi cepat untuk menutup celah yang sedang dimanfaatkan. Namun, organisasi tetap disarankan untuk melakukan upgrade ke versi stabil terbaru setelah tersedia, guna memastikan perlindungan jangka panjang.

Dengan dua kerentanan berbeda yang sama-sama memungkinkan eksekusi kode tanpa autentikasi, FortiClient EMS menjadi target yang signifikan dalam lanskap ancaman saat ini. Kombinasi antara access control bypass dan SQL Injection memberikan fleksibilitas bagi penyerang untuk memilih vektor serangan yang paling sesuai dengan kondisi target.

Bagi organisasi yang menggunakan FortiClient EMS sebagai bagian dari infrastruktur keamanan endpoint, langkah mitigasi tidak dapat ditunda. Audit sistem, pembaruan versi, serta pemantauan aktivitas mencurigakan menjadi langkah penting untuk memastikan tidak adanya kompromi lebih lanjut. Dalam konteks serangan yang telah terjadi di alam liar, asumsi bahwa sistem telah menjadi target bukan lagi berlebihan, melainkan pendekatan defensif yang realistis.

Sumber:

FortinetGuard

Tenable

NVD-NIST

CWE-MITRE

Serangan Supply Chain Trivy: Build GitHub Disusupi, Infostealer Curi Kredensial Cloud dan Developer

Sebuah insiden keamanan serius menargetkan proyek open-source Trivy, ketika pelaku ancaman berhasil menyusupi proses build di GitHub dan mendistribusikan pembaruan berbahaya yang menyisipkan malware jenis infostealer. Serangan ini diklasifikasikan sebagai supply chain attack, di mana pelaku tidak langsung menyerang target akhir, melainkan memanfaatkan jalur distribusi perangkat lunak untuk menyebarkan payload berbahaya ke pengguna yang mempercayai sumber resmi.

Dalam insiden ini, pelaku mendorong tag berbahaya yang menyertakan tautan ke binary payload yang belum dianalisis sepenuhnya. Namun, indikator awal menunjukkan bahwa payload tersebut dirancang untuk mencuri informasi sensitif dari lingkungan pengembangan maupun pipeline otomatis. Hingga detail lengkap tersedia, insiden ini diperlakukan sebagai ancaman dengan tingkat kritis mengingat potensi dampaknya yang luas terhadap pengguna Trivy, termasuk organisasi yang mengandalkan alat tersebut dalam proses keamanan aplikasi.

Salah satu teknik yang digunakan dalam serangan ini adalah pembuatan domain tiruan yang menyerupai domain resmi. Pelaku menggunakan domain scan[.]aquasecurtiy[.]org, yang secara visual sangat mirip dengan domain milik Aqua Security. Dari domain tersebut, proses build yang telah dikompromikan menarik empat file berbahaya berbasis Golang. Teknik typosquatting seperti ini sering kali berhasil karena perbedaan kecil pada penulisan domain sulit dikenali secara cepat, terutama dalam proses otomatis seperti CI/CD.

Malware yang disisipkan dalam rantai serangan ini diidentifikasi oleh pelaku sebagai “TeamPCP Cloud stealer”. Fungsinya tidak berhenti pada satu tahap. Setelah dijalankan, malware mencoba mengambil payload tambahan dari domain lain yang juga berada di bawah kendali pelaku. Jika upaya tersebut gagal, malware akan beralih ke endpoint alternatif untuk mendapatkan instruksi atau payload tambahan, menunjukkan adanya mekanisme redundansi dalam infrastruktur command and control.

Kemampuan utama malware ini terletak pada pengumpulan kredensial dan data sensitif. Dalam lingkungan CI/CD, malware memanfaatkan akses ke proses runner dengan membaca memori dari Runner.Worker melalui jalur /proc/<pid>/mem. Teknik ini memungkinkan ekstraksi data yang sedang diproses, termasuk token, kunci API, dan kredensial lainnya yang biasanya hanya tersedia di memori selama runtime. Selain itu, malware juga melakukan pemindaian sistem file untuk mencari kunci SSH, kredensial cloud seperti AWS, GCP, dan Azure, token Kubernetes, serta dompet cryptocurrency. Lebih dari 50 jalur file sensitif menjadi target dalam proses ini.

Serangan tidak terbatas pada pipeline otomatis. Versi binary Trivy yang telah dimodifikasi, khususnya versi 0.69.4, juga dirancang untuk mencuri data dari mesin developer. Binary tersebut mengumpulkan variabel lingkungan, memetakan antarmuka jaringan, dan mengekstrak informasi yang dapat digunakan untuk eskalasi serangan lebih lanjut. Hal ini memperluas cakupan dampak dari sekadar lingkungan build menjadi endpoint individu yang digunakan oleh pengembang.

Data yang berhasil dikumpulkan tidak langsung dikirim dalam bentuk mentah. Malware menggunakan skema enkripsi hybrid yang menggabungkan AES-256-CBC dan RSA-4096 untuk mengamankan data sebelum dikirim ke server command and control. Data tersebut dikemas dalam arsip bernama tpcp.tar.gz dan dikirim ke domain yang telah ditiru sebelumnya. Pendekatan ini menunjukkan tingkat perencanaan yang matang, karena data yang dienkripsi sulit dianalisis jika tertangkap dalam lalu lintas jaringan.

Menariknya, varian malware yang berjalan di GitHub Actions memiliki metode eksfiltrasi tambahan yang tidak lazim. Alih-alih hanya mengirim data ke server eksternal, malware dapat mengunggah data yang dicuri ke repository dalam akun GitHub korban, dengan nama tpcp-docs. Teknik ini memanfaatkan kredensial yang sudah tersedia di runner, sehingga tidak memerlukan koneksi keluar yang mencurigakan. Pendekatan ini juga menyulitkan deteksi karena aktivitas terlihat seperti operasi normal dalam konteks GitHub.

Selain pencurian data, malware juga memiliki mekanisme persistensi ketika dijalankan di luar lingkungan CI/CD. Pada mesin developer, malware menjatuhkan skrip Python ke dalam direktori konfigurasi pengguna dan mendaftarkannya sebagai unit systemd agar dapat berjalan secara terus-menerus. Skrip ini secara berkala menghubungi server command and control untuk mengambil payload tambahan, memungkinkan pelaku mempertahankan akses jangka panjang ke sistem yang telah terinfeksi.

Insiden ini menyoroti risiko inheren dalam rantai pasok perangkat lunak, terutama pada proyek open-source yang digunakan secara luas dalam pipeline keamanan dan DevOps. Ketika alat yang dirancang untuk meningkatkan keamanan justru menjadi vektor serangan, dampaknya dapat meluas dengan cepat ke berbagai organisasi yang mengandalkan alat tersebut dalam proses otomatis mereka.

Dari sudut pandang operasional, serangan ini memperlihatkan bagaimana kombinasi beberapa teknik typosquatting domain, kompromi pipeline build, pencurian kredensial dari memori, serta eksfiltrasi data terenkripsi dapat digabungkan menjadi satu rantai serangan yang efektif. Kompleksitas ini juga menyulitkan deteksi dini, terutama jika organisasi tidak memiliki visibilitas penuh terhadap aktivitas dalam pipeline CI/CD mereka.

Bagi praktisi keamanan, insiden ini menjadi pengingat bahwa kepercayaan terhadap sumber resmi harus tetap diimbangi dengan verifikasi tambahan. Validasi checksum binary, pembatasan akses kredensial dalam pipeline, serta pemantauan aktivitas anomali di lingkungan build menjadi langkah penting untuk mengurangi risiko serupa. Sementara itu, bagi developer, penting untuk memahami bahwa alat yang digunakan dalam proses pengembangan juga dapat menjadi target serangan.

Serangan terhadap Trivy ini memperlihatkan bahwa supply chain bukan lagi target sekunder, melainkan jalur utama bagi pelaku ancaman untuk menjangkau banyak korban sekaligus. Dengan memanfaatkan satu titik distribusi, pelaku dapat menyebarkan malware ke berbagai lingkungan tanpa perlu menargetkan masing-masing sistem secara langsung. Dalam konteks ini, keamanan pipeline dan integritas build menjadi komponen krusial yang tidak dapat diabaikan.

Teknik Baru Web Shell: Aktor Ancaman Sembunyikan Eksekusi Kode Lewat HTTP Cookie di Server Linux

Peneliti keamanan mengungkap pendekatan baru yang digunakan aktor ancaman dalam mempertahankan akses tersembunyi ke server Linux, dengan memanfaatkan HTTP cookie sebagai saluran kontrol untuk web shell berbasis PHP. Teknik ini dinilai meningkatkan tingkat stealth secara signifikan karena mampu menyamarkan aktivitas berbahaya di dalam lalu lintas web yang terlihat normal.

Temuan ini dipublikasikan oleh tim riset Microsoft Defender Security Research Team, yang menjelaskan bahwa metode ini menggeser paradigma eksekusi perintah dari parameter URL atau body request ke nilai cookie yang dikirimkan oleh penyerang. Dengan cara ini, web shell tidak lagi mengeksekusi perintah secara eksplisit dalam permintaan HTTP yang mudah dianalisis, melainkan hanya aktif ketika nilai cookie tertentu hadir.

Dalam praktiknya, cookie digunakan sebagai mekanisme gating yang menentukan kapan fungsi berbahaya dijalankan. Nilai yang dikirim melalui cookie berperan sebagai instruksi, pemicu, sekaligus parameter untuk eksekusi kode. Hal ini memungkinkan kode berbahaya tetap tidak aktif selama permintaan normal, dan hanya diaktifkan dalam interaksi yang disengaja oleh penyerang.

Pendekatan ini memberikan keuntungan operasional yang jelas. Cookie merupakan bagian standar dari komunikasi HTTP dan sering kali tidak dianalisis secara mendalam oleh sistem keamanan tradisional. Akibatnya, penggunaan cookie sebagai channel kontrol mampu mengurangi visibilitas aktivitas berbahaya dan meminimalkan indikator yang dapat terdeteksi oleh sistem monitoring maupun logging aplikasi.

Secara teknis, teknik ini memanfaatkan variabel superglobal $_COOKIE dalam PHP, yang secara otomatis menyediakan akses ke nilai cookie saat runtime tanpa memerlukan parsing tambahan. Ini memungkinkan input dari penyerang langsung diproses oleh aplikasi, menciptakan jalur eksekusi yang lebih sederhana namun sulit dilacak.

Peneliti mengidentifikasi beberapa variasi implementasi dari teknik ini. Dalam salah satu skenario, web shell bertindak sebagai loader yang sangat ter-obfuscasi, dengan beberapa lapisan perlindungan yang dirancang untuk menghindari analisis statis. Loader ini hanya akan memproses payload sekunder setelah melakukan serangkaian pemeriksaan terhadap nilai cookie yang diterima.

Pada implementasi lain, data yang dikirim melalui cookie dipecah menjadi beberapa segmen yang kemudian direkonstruksi oleh script PHP untuk membentuk fungsi operasional seperti manipulasi file atau decoding payload. Setelah direkonstruksi, script dapat menulis payload tambahan ke disk dan mengeksekusinya, tergantung pada kondisi tertentu yang ditentukan oleh nilai cookie.

Ada pula pendekatan yang lebih sederhana, di mana satu nilai cookie berfungsi sebagai penanda untuk mengaktifkan aksi tertentu, seperti menjalankan kode yang diberikan oleh penyerang atau mengunggah file ke server. Meskipun terlihat minimalis, metode ini tetap efektif karena mengandalkan mekanisme komunikasi yang sah dan sulit dibedakan dari aktivitas normal.

Salah satu temuan penting dalam laporan ini adalah bagaimana aktor ancaman mempertahankan persistensi di sistem target. Dalam setidaknya satu kasus, akses awal diperoleh melalui kredensial valid atau eksploitasi kerentanan yang sudah diketahui. Setelah masuk, penyerang mengatur cron job yang secara berkala menjalankan rutin shell untuk mengeksekusi loader PHP yang telah di-obfuscasi.

Arsitektur ini menciptakan mekanisme “self-healing”, di mana web shell dapat secara otomatis dibuat ulang oleh scheduled task meskipun telah dihapus oleh administrator atau sistem keamanan. Dengan demikian, penyerang tidak hanya memperoleh akses awal, tetapi juga memastikan keberlangsungan akses tersebut dalam jangka panjang tanpa perlu intervensi manual.

Setelah loader PHP terpasang, ia tetap tidak aktif selama lalu lintas normal. Aktivasi hanya terjadi ketika server menerima permintaan HTTP dengan cookie yang sesuai dengan pola yang telah ditentukan. Pemisahan antara mekanisme persistensi dan eksekusi ini secara efektif mengurangi noise operasional dan membuat aktivitas penyerang lebih sulit terdeteksi.

Pendekatan ini juga mencerminkan tren yang lebih luas dalam evolusi teknik pasca-kompromi, di mana aktor ancaman semakin memanfaatkan jalur eksekusi yang sah dalam sistem target. Alih-alih menggunakan exploit chain yang kompleks, mereka memanfaatkan komponen yang sudah tersedia seperti proses web server, panel kontrol hosting, dan infrastruktur cron untuk menjalankan kode berbahaya.

Kesamaan yang mengikat berbagai implementasi teknik ini adalah penggunaan obfuscation untuk menyembunyikan fungsi sensitif, serta mekanisme cookie-based gating untuk mengontrol kapan aksi dijalankan. Kombinasi ini menghasilkan jejak interaksi yang sangat minimal, sehingga menyulitkan proses deteksi berbasis signature maupun analisis perilaku sederhana.

Dari perspektif pertahanan, teknik ini menimbulkan tantangan baru bagi tim keamanan. Karena aktivitas berbahaya tidak terlihat dalam parameter URL atau body request, pendekatan inspeksi tradisional menjadi kurang efektif. Selain itu, penggunaan cookie sebagai channel kontrol mengaburkan batas antara trafik normal dan trafik berbahaya.

Untuk mengurangi risiko, Microsoft merekomendasikan sejumlah langkah mitigasi yang berfokus pada penguatan kontrol akses dan peningkatan visibilitas. Ini mencakup penerapan autentikasi multi-faktor pada panel hosting dan akses SSH, pemantauan aktivitas login yang tidak biasa, serta pembatasan eksekusi interpreter shell di lingkungan produksi.

Audit terhadap cron job dan scheduled task juga menjadi langkah penting, mengingat peran krusialnya dalam mempertahankan persistensi. Selain itu, organisasi disarankan untuk secara rutin memeriksa direktori web terhadap file yang mencurigakan serta membatasi kemampuan shell pada panel kontrol hosting.

Temuan ini menegaskan bahwa ancaman modern tidak selalu bergantung pada eksploitasi teknis yang kompleks. Dengan memanfaatkan mekanisme yang sah dan sering diabaikan seperti cookie HTTP, aktor ancaman mampu menciptakan jalur akses yang persisten dan sulit dideteksi.

Lebih jauh, penggunaan cookie sebagai mekanisme kontrol menunjukkan adanya reuse teknik yang telah matang dalam ekosistem web shell. Pendekatan ini tidak hanya meningkatkan stealth, tetapi juga memberikan fleksibilitas tinggi dalam mengendalikan sistem yang telah dikompromikan tanpa meninggalkan jejak yang mencolok.

Dalam konteks operasional, pergeseran ini mengharuskan organisasi untuk memperluas cakupan deteksi mereka, tidak hanya pada payload atau exploit, tetapi juga pada pola komunikasi yang tampak sah namun digunakan untuk tujuan berbahaya. Tanpa visibilitas yang memadai terhadap layer aplikasi dan interaksi HTTP secara menyeluruh, teknik semacam ini berpotensi lolos dari pengawasan dalam waktu yang lama.

Dengan semakin banyaknya teknik yang memanfaatkan fitur bawaan sistem sebagai vektor serangan, batas antara aktivitas normal dan aktivitas berbahaya menjadi semakin kabur. Dalam kondisi ini, pendekatan keamanan yang adaptif dan berbasis konteks menjadi krusial untuk mengidentifikasi ancaman yang tidak lagi bergantung pada indikator tradisional.

Operasi Siber TA416 Kembali Menargetkan Diplomasi Eropa, Gunakan Teknik Phishing OAuth dan Malware PlugX

Aktivitas siber yang dikaitkan dengan aktor ancaman berafiliasi China kembali meningkat di kawasan Eropa setelah periode relatif tenang selama hampir dua tahun. Sejak pertengahan 2025, kelompok yang dilacak sebagai TA416 dilaporkan kembali aktif menargetkan organisasi pemerintah dan misi diplomatik yang terkait dengan Uni Eropa dan NATO, dengan pendekatan serangan yang semakin adaptif dan kompleks.

Menurut laporan dari perusahaan keamanan siber Proofpoint, kampanye ini mencakup beberapa gelombang serangan yang memanfaatkan teknik web bug serta distribusi malware yang dirancang untuk mengumpulkan intelijen dari target bernilai tinggi. Aktivitas ini juga menunjukkan evolusi signifikan dalam rantai infeksi yang digunakan oleh pelaku, termasuk eksploitasi halaman verifikasi seperti Cloudflare Turnstile, penyalahgunaan mekanisme redirect OAuth, serta penggunaan file proyek C# untuk menjalankan payload berbahaya.

TA416 sendiri bukan entitas tunggal yang berdiri sendiri, melainkan bagian dari klaster aktivitas yang memiliki tumpang tindih dengan beberapa kelompok lain seperti DarkPeony, RedDelta, Red Lich, SmugX, UNC6384, dan Vertigo Panda. Selain itu, kelompok ini juga memiliki kesamaan teknis historis dengan klaster Mustang Panda, yang dalam berbagai laporan juga dikenal dengan nama CerenaKeeper, Red Ishtar, dan UNK_SteadySplit. Secara kolektif, aktivitas kelompok-kelompok ini sering dilacak dengan berbagai label seperti Earth Preta, Hive0154, hingga Twill Typhoon.

Kampanye terbaru TA416 terhadap Eropa sebagian besar berfokus pada pengumpulan informasi strategis melalui pendekatan rekayasa sosial yang dikombinasikan dengan malware tingkat lanjut. Salah satu teknik yang digunakan adalah web bug atau tracking pixel, yaitu elemen kecil yang disisipkan dalam email dan secara otomatis mengirimkan permintaan HTTP ke server penyerang ketika email dibuka. Teknik ini memungkinkan pelaku memperoleh data seperti alamat IP korban, user agent, serta waktu akses, yang kemudian digunakan untuk memverifikasi keberhasilan tahap awal serangan.

Dalam beberapa kasus yang diamati pada Desember 2025, TA416 menggunakan aplikasi cloud pihak ketiga berbasis Microsoft Entra ID untuk memulai redirect yang mengarah ke unduhan arsip berbahaya. Email phishing yang digunakan dalam kampanye ini mengandung tautan ke endpoint OAuth resmi milik Microsoft, yang secara sekilas tampak sah. Namun, setelah diklik, pengguna akan dialihkan ke domain yang dikendalikan penyerang sebelum akhirnya mengunduh malware.

Teknik ini memanfaatkan kepercayaan terhadap domain sah untuk melewati mekanisme pertahanan tradisional pada email dan browser. Praktik tersebut juga telah menjadi perhatian Microsoft, yang sebelumnya memperingatkan adanya kampanye phishing yang memanfaatkan redirect OAuth untuk menghindari deteksi sistem keamanan.

Evolusi lebih lanjut dalam rantai infeksi terdeteksi pada Februari 2026, ketika TA416 mulai memanfaatkan layanan penyimpanan cloud seperti Google Drive dan instance SharePoint yang telah dikompromikan. Arsip yang diunduh korban dalam skenario ini biasanya berisi executable MSBuild yang sah serta file proyek C# berbahaya. Ketika dijalankan, MSBuild secara otomatis mencari file proyek di direktori yang sama dan membangunnya, yang dalam kasus ini berfungsi sebagai downloader untuk mengambil komponen malware tambahan.

File proyek tersebut diketahui mendekode beberapa URL yang dienkripsi dalam format Base64, yang kemudian digunakan untuk mengunduh komponen DLL dari server yang dikendalikan penyerang. Teknik ini berujung pada eksekusi malware melalui metode DLL side-loading, yaitu dengan memanfaatkan executable sah untuk memuat library berbahaya tanpa terdeteksi oleh sistem keamanan.

Malware utama yang digunakan dalam kampanye ini adalah PlugX, sebuah backdoor yang telah lama dikaitkan dengan operasi spionase siber yang berafiliasi dengan China. PlugX dikenal karena kemampuannya dalam membangun komunikasi terenkripsi dengan server command-and-control (C2), serta melakukan berbagai fungsi seperti pengumpulan informasi sistem, eksekusi payload tambahan, hingga membuka reverse shell untuk kontrol jarak jauh.

Meski mekanisme dasarnya tetap konsisten, varian PlugX yang digunakan oleh TA416 terus diperbarui untuk menghindari deteksi. Selain itu, executable sah yang digunakan dalam proses DLL side-loading juga bervariasi dari waktu ke waktu, menunjukkan upaya berkelanjutan untuk meningkatkan stealth dan efektivitas serangan.

Selain Eropa, TA416 juga memperluas target operasinya ke kawasan Timur Tengah pada awal 2026. Aktivitas ini muncul setelah meningkatnya ketegangan geopolitik yang melibatkan Amerika Serikat, Israel, dan Iran. Menurut analisis, kampanye ini kemungkinan besar bertujuan untuk mengumpulkan intelijen regional terkait dinamika konflik tersebut, memperlihatkan bagaimana prioritas target kelompok ini sangat dipengaruhi oleh situasi geopolitik global.

Dalam konteks yang lebih luas, temuan ini sejalan dengan laporan dari Darktrace yang menunjukkan bahwa operasi siber yang terkait dengan China telah berevolusi secara signifikan dalam beberapa tahun terakhir. Jika sebelumnya serangan lebih berfokus pada tujuan strategis tertentu, kini pendekatan yang digunakan cenderung lebih adaptif dan berorientasi pada identitas, dengan tujuan membangun persistensi jangka panjang di dalam jaringan target.

Analisis terhadap kampanye antara Juli 2022 hingga September 2025 menunjukkan bahwa sebagian besar serangan melibatkan eksploitasi infrastruktur yang terekspos ke internet untuk mendapatkan akses awal. Organisasi di Amerika Serikat menjadi target utama, diikuti oleh sejumlah negara lain termasuk Italia, Spanyol, Jerman, dan Inggris. Namun, yang menjadi perhatian utama adalah kemampuan aktor untuk mempertahankan akses dalam jangka waktu yang sangat lama.

Dalam salah satu kasus yang diungkap, pelaku berhasil mengkompromikan suatu lingkungan dan mempertahankan persistensi, sebelum kembali aktif lebih dari 600 hari kemudian. Pola ini menunjukkan tingkat perencanaan dan kesabaran yang tinggi, serta menegaskan bahwa tujuan utama dari operasi semacam ini bukan sekadar akses jangka pendek, melainkan kontrol strategis dalam jangka panjang.

Kembalinya aktivitas TA416 ke Eropa setelah sebelumnya berfokus pada Asia Tenggara dan Mongolia menunjukkan adanya pergeseran prioritas intelijen yang signifikan. Dengan kombinasi teknik seperti phishing berbasis OAuth, penyalahgunaan layanan cloud, dan penggunaan malware canggih seperti PlugX, kampanye ini mencerminkan lanskap ancaman yang semakin kompleks dan sulit dideteksi.

Bagi organisasi pemerintah dan sektor publik, temuan ini menjadi pengingat bahwa ancaman tidak hanya datang dari eksploitasi teknis semata, tetapi juga dari penyalahgunaan mekanisme yang sah dan dipercaya. Pendekatan keamanan yang hanya berfokus pada perimeter tradisional menjadi semakin tidak memadai dalam menghadapi serangan yang memanfaatkan identitas, kepercayaan, dan interaksi pengguna sebagai vektor utama.

Seiring meningkatnya ketegangan geopolitik di berbagai kawasan, aktivitas kelompok seperti TA416 diperkirakan akan terus beradaptasi dan berkembang. Fokus pada diplomasi, kebijakan luar negeri, dan infrastruktur kritis menjadikan operasi ini tidak hanya sebagai ancaman teknis, tetapi juga sebagai bagian dari strategi intelijen yang lebih luas dalam persaingan globalL