Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan siber yang menimpa jaringan supermarket Inggris, Co-op, telah menimbulkan dampak finansial yang mengejutkan. Perusahaan ini mengungkap bahwa insiden yang terjadi awal tahun ini mengakibatkan kerugian pendapatan sebesar £206 juta (sekitar $276 juta), dengan estimasi pukulan £120 juta ($161 juta) terhadap laba tahunan. Angka ini menandai salah satu kerugian terbesar yang pernah dialami Co-op akibat serangan siber, yang juga mengguncang reputasi dan kepercayaan pelanggan.

Dalam laporan semester yang berakhir 5 Juli, Co-op melaporkan kerugian mendasar sebelum pajak sebesar £75 juta, berbanding dengan laba £3 juta pada periode yang sama tahun sebelumnya. Selain dampak langsung serangan siber, meningkatnya biaya tenaga kerja dan beban regulasi turut menekan kinerja keuangan. Perusahaan bahkan memperkirakan biaya keseluruhan akan jauh lebih besar pada paruh kedua tahun ini karena dampak lanjutan insiden tersebut.

Rachel Izzard, Chief Financial Officer Co-op, menjelaskan kepada Reuters bahwa “pukulan terhadap paruh pertama adalah £80 juta, dan kami percaya dampaknya untuk setahun penuh adalah £120 juta, termasuk pemulihan asuransi.” Namun, ia juga mengungkapkan bahwa perlindungan asuransi yang dimiliki Co-op sangat terbatas. “Kami hanya memiliki elemen front-end dari asuransi siber dalam hal kemampuan respons awal teknologi pihak ketiga, tetapi kami tidak yakin akan mengklaim asuransi untuk kerugian di sisi back-end,” tambahnya. Total pendapatan Co-op yang dilaporkan mencapai £5,48 miliar, lebih rendah dari £5,6 miliar yang dibukukan pada periode yang sama tahun 2024.

Serangan ini dikaitkan dengan operasi ransomware bernama Scattered Spider. Robert Elsey, Chief Digital and Information Officer Co-op, mengungkapkan bahwa para pelaku berhasil menyusup melalui teknik social engineering dengan menyamar sebagai karyawan internal. Kelompok ini dilaporkan mencuri data pribadi 20 juta pelanggan Co-op. CEO Shirine Khoury-Haq juga mengonfirmasi bahwa data pribadi 6,5 juta anggota Co-op, baik yang aktif maupun mantan anggota, telah diretas. Insiden ini memperlihatkan betapa luasnya dampak serangan siber modern yang kini dapat melumpuhkan seluruh aspek bisnis, dari pelanggan hingga operasional.

Para pakar keamanan menilai insiden ini sebagai peringatan serius bagi dunia usaha. Simon Phillips, CTO Engineering CybaVerse, mengatakan kepada Cybernews bahwa “serangan siber saat ini bisa menghancurkan bisnis, mempengaruhi hampir setiap fungsi, mulai dari pelanggan, karyawan, operasional hingga keuntungan. Namun, banyak pimpinan bisnis masih belum menyadari konsekuensi ini dan kurang berinvestasi dalam pertahanan, sehingga organisasi mereka tetap rentan.” Phillips menambahkan bahwa kerugian sebesar £206 juta adalah angka yang luar biasa dan hanya sedikit organisasi yang mampu bertahan. “Beruntung bagi organisasi sebesar Co-op, ini adalah pukulan berat tetapi masih bisa dipulihkan,” ujarnya.

Otoritas setempat juga bergerak cepat. Pada Juli, National Crime Agency (NCA) menangkap empat orang yang diduga terlibat dalam serangan terhadap Co-op, Marks & Spencer, dan Harrods. Insiden di Marks & Spencer mempengaruhi sistem pembayaran nirsentuh dan memaksa penghentian pemrosesan pesanan online untuk pakaian dan perlengkapan rumah selama 46 hari. Sementara itu, pada serangan terhadap Harrods, peretas mencoba mendapatkan akses tidak sah ke beberapa sistemnya.

Menurut Andy McKay, Kepala IT dan Layanan Keamanan Siber di Converged Communication Solutions, kerugian yang dialami Co-op memberikan pandangan nyata tentang besarnya dampak ransomware saat ini. “Banyak bisnis yang enggan mengeluarkan biaya untuk keamanan siber, melihatnya sebagai pengeluaran opsional yang tidak memberikan pengembalian langsung. Ini sangat keliru,” katanya. McKay menekankan bahwa ROI dari keamanan siber adalah kelangsungan bisnis, operasi yang aman dan tanpa gangguan, serta terhindarnya data sensitif pelanggan, karyawan, dan perusahaan dari risiko. Selain itu, investasi ini juga mencegah denda kepatuhan regulasi serta kerugian finansial dan reputasi yang tak tergantikan.

Tren serangan semacam ini bukan hanya dialami Co-op. McKay menyebutkan bahwa tahun ini Marks & Spencer juga terkena dampak hingga £300 juta, sedangkan serangan yang sedang berlangsung terhadap Jaguar Land Rover telah menghentikan lini produksi perusahaan, membuat puluhan pemasoknya terancam kolaps. Kerugian dari serangan ini dilaporkan mencapai £50 juta per minggu. McKay menegaskan bahwa bagi para pemimpin bisnis, situasi ini harus menjadi peringatan keras untuk memahami risiko nyata dari kurangnya investasi pada keamanan siber. “Bukan hanya teknologi yang terancam, begitu penyerang berhasil masuk ke jaringan, segalanya bisa berisiko,” pungkasnya.

Artikel ini memperlihatkan dengan jelas bahwa serangan siber modern bukan lagi masalah teknis belaka, melainkan ancaman strategis yang dapat menghancurkan fondasi keuangan, reputasi, dan kelangsungan bisnis. Kasus Co-op menjadi contoh nyata mengapa investasi pada keamanan siber bukan sekadar biaya, melainkan penopang utama keberlangsungan perusahaan di era digital.

Breach and Attack Simulation: Crash Test yang Mengubah Keamanan Siber dari Asumsi Menjadi Bukti Nyata

Breach and Attack Simulation: Crash Test yang Mengubah Keamanan Siber dari Asumsi Menjadi Bukti Nyata

Dalam dunia otomotif, pabrikan mobil tidak pernah hanya mengandalkan gambar cetak biru atau blueprint untuk menilai keselamatan. Mereka menghancurkan prototipe berulang kali dalam uji tabrak terkontrol demi memastikan ketahanan desain mereka. Spesifikasi teknis tidak menjamin keselamatan; uji benturanlah yang membuktikan realitas di lapangan. Prinsip yang sama berlaku dalam keamanan siber. Dashboard yang penuh dengan notifikasi “critical” dan laporan kepatuhan yang rapi bukanlah jaminan bahwa sistem benar-benar terlindungi.

Bagi seorang CISO, yang terpenting bukanlah banyaknya kotak centang di laporan audit, melainkan bukti nyata bahwa kelompok ransomware yang menyasar sektor tertentu tidak bisa bergerak lateral setelah masuk, bahwa exploit baru tidak akan menembus pertahanan kemudian hari, dan bahwa data sensitif tidak bisa dieksfiltrasi secara diam-diam yang berisiko memicu denda, gugatan, dan kerusakan reputasi. Inilah alasan mengapa Breach and Attack Simulation (BAS) muncul sebagai kebutuhan, bukan sekadar pilihan.

BAS adalah “uji tabrak” bagi tumpukan keamanan siber perusahaan. Teknologi ini secara aman mensimulasikan perilaku musuh nyata untuk menunjukkan serangan mana yang mampu dihentikan pertahanan dan celah mana yang bisa ditembus. Dengan BAS, asumsi berubah menjadi bukti nyata sebelum penyerang memanfaatkannya atau regulator menuntut jawaban. Dashboard yang tampak penuh informasi seringkali menimbulkan rasa aman semu, sama seperti membaca brosur mobil lalu menyatakan kendaraan itu “aman” tanpa pernah mengujinya di kecepatan tinggi. Hanya benturan nyata yang mengungkap di mana rangka lemah dan airbag gagal bekerja.

Data terbaru dari Blue Report 2025 mengungkap gambaran mengejutkan ketika pertahanan diuji alih-alih diasumsikan. Tingkat pencegahan serangan turun dari 69% menjadi 62% dalam setahun, bahkan di organisasi dengan kontrol keamanan matang. Lebih dari separuh perilaku penyerang tidak menghasilkan log sama sekali, membuat rantai serangan berjalan tanpa terlihat. Hanya 14% yang memicu peringatan, artinya sebagian besar sistem deteksi gagal secara diam-diam. Bahkan upaya penyegelan data hanya berhasil dihentikan 3% dari waktu, menunjukkan tahap paling krusial dan berisiko tinggi hampir tanpa perlindungan nyata. Seperti uji tabrak yang mengungkap kelemahan tersembunyi dalam desain mobil, validasi keamanan menyingkap asumsi yang runtuh di bawah tekanan dunia nyata.

BAS bekerja sebagai mesin validasi keamanan yang terus-menerus. Alih-alih menunggu serangan nyata, BAS menjalankan skenario serangan yang aman dan terkendali, meniru cara musuh beroperasi sesungguhnya. Teknologi ini tidak menjual hipotesis, melainkan bukti. Bagi para CISO, bukti ini penting karena mengubah kecemasan menjadi keyakinan. Tidak ada lagi malam tanpa tidur akibat CVE baru dengan proof-of-concept yang beredar. Tidak ada lagi tebakan apakah kampanye ransomware yang sedang menyapu sektor tertentu bisa menembus lingkungan internal. BAS menghadirkan jawaban melalui simulasi nyata, bukan asumsi.

Inilah disiplin baru yang disebut Security Control Validation (SCV) — pembuktian bahwa investasi keamanan benar-benar berfungsi pada saat paling penting. BAS menjadi mesin yang membuat SCV berlangsung secara terus-menerus dan skala besar. Dashboard mungkin menunjukkan postur, tetapi BAS mengungkap kinerja. Dengan menunjukkan titik buta dalam pertahanan, BAS memberi CISO sesuatu yang tidak pernah bisa ditawarkan dashboard: fokus pada paparan yang benar-benar penting, sekaligus bukti ketahanan yang bisa dipresentasikan kepada dewan, regulator, dan pelanggan.

Efek BAS pada sisi bisnis juga sangat signifikan. Validasi paparan yang didorong oleh BAS mampu memangkas backlog temuan “kritis” dari 9.500 menjadi hanya 1.350 paparan yang terbukti relevan. Mean Time to Remediate (MTTR) turun dari 45 hari menjadi 13 hari, menutup jendela kerentanan sebelum penyerang beraksi. Frekuensi rollback pun berkurang dari 11 menjadi hanya 2 per kuartal, menghemat waktu, anggaran, dan kredibilitas. Ketika dipasangkan dengan model prioritas seperti Picus Exposure Score (PXS), kejelasan ini semakin tajam: dari 63% kerentanan yang ditandai tinggi/kritis, hanya 10% yang benar-benar kritis setelah divalidasi, pengurangan 84% dari urgensi palsu. Bagi CISO, ini berarti lebih sedikit malam tanpa tidur akibat dashboard yang membengkak dan lebih banyak keyakinan bahwa sumber daya difokuskan pada paparan yang paling penting.

Pada akhirnya, tantangan bagi CISO bukan sekadar visibilitas, melainkan kepastian. Dewan tidak meminta dashboard atau skor pemindai; mereka menginginkan jaminan bahwa pertahanan akan bertahan pada saat paling krusial. BAS mengubah percakapan ini: dari postur ke bukti. Dari “Kami menerapkan firewall” menjadi “Kami membuktikan firewall memblokir traffic Command & Control berbahaya pada 500 simulasi kuartal ini.” Dari “EDR kami mencakup MITRE” menjadi “Kami mendeteksi 72% perilaku grup APT Scattered Spider; berikut perbaikan untuk 28% sisanya.” Dari “Kami patuh” menjadi “Kami tangguh, dan kami punya buktinya.” Pergeseran inilah yang membuat BAS menarik di tingkat eksekutif. Teknologi ini mengubah keamanan dari asumsi menjadi hasil terukur, karena dewan tidak membeli postur, mereka membeli bukti.

Lebih jauh lagi, dengan dukungan kecerdasan buatan, BAS kini tidak hanya membuktikan apakah pertahanan bekerja kemarin, tetapi juga memprediksi bagaimana pertahanan tersebut akan bertahan menghadapi ancaman masa depan. Pendekatan ini menjadikan BAS sebagai fondasi baru bagi keamanan siber modern, mengubah keamanan dari sekadar pengawasan menjadi simulasi yang memberikan keyakinan nyata.

Kali Linux 2025.3 Resmi Dirilis: Fitur Baru, Dukungan Nexmon, dan 10 Tool Pentesting Terbaru

Kali Linux 2025.3 Resmi Dirilis: Fitur Baru, Dukungan Nexmon, dan 10 Tool Pentesting Terbaru

Versi terbaru Kali Linux 2025.3 resmi diluncurkan dan membawa sejumlah perubahan penting yang membuat distribusi ini semakin kuat sebagai sistem operasi untuk pengujian penetrasi. Rilis ini memperkenalkan pembaruan pada infrastruktur virtualisasi, menghadirkan kembali dukungan Nexmon untuk Wi-Fi, menghentikan dukungan untuk arsitektur lama ARMel, serta menambahkan sepuluh tool baru yang memperluas kemampuan pentesting. Kombinasi perubahan ini menunjukkan arah pengembangan Kali yang semakin berfokus pada teknologi modern, keamanan nirkabel, dan ekosistem alat yang lebih cerdas.

Perombakan pada sisi virtualisasi menjadi salah satu sorotan. Selama ini, Kali menggunakan HashiCorp Packer untuk membuat virtual machine dari satu konfigurasi sumber dan Vagrant untuk membangun serta mengelola lingkungan VM. Dalam rilis 2025.3, tim pengembang meninjau ulang cara mereka membangun image Vagrant dan melakukan penyegaran terhadap skrip Packer yang digunakan. Contoh pre-seed untuk instalasi otomatis diseragamkan, skrip Packer diupgrade ke standar v2, dan skrip VM untuk image Vagrant disesuaikan agar lebih konsisten. Hasilnya adalah proses pembuatan VM yang lebih ramping, mudah dikelola, dan lebih fleksibel untuk berbagai platform, termasuk yang sebelumnya sulit diotomasi seperti Hyper-V di Linux.

Tak kalah penting adalah kembalinya dukungan Nexmon, firmware “patch” untuk chipset nirkabel tertentu yang memperluas fungsinya agar dapat beroperasi dalam mode monitor dan injection. Mode monitor memungkinkan perangkat menangkap lalu lintas paket secara pasif, sedangkan injection memberi kemampuan mengirim frame mentah yang disusun sesuai kebutuhan. Keduanya sangat penting untuk pengujian keamanan jaringan nirkabel. Nexmon kini kembali mendukung Raspberry Pi, termasuk model terbaru Raspberry Pi 5, sekaligus memperluas dukungan ke chipset Broadcom dan Cypress di berbagai perangkat lain. Dengan langkah ini, pengguna Kali Linux bisa lebih leluasa melakukan audit Wi-Fi internal tanpa perlu perangkat tambahan.

Sementara itu, keputusan untuk menghentikan dukungan pada arsitektur ARMel juga menjadi tonggak penting. Arsitektur ini sudah jarang digunakan, misalnya pada Raspberry Pi 1, Raspberry Pi Zero W, dan ODROID-W yang sudah end-of-life. Mengikuti jejak Debian “Trixie” yang tidak lagi menyediakan paket ARMel, tim Kali memilih untuk mengalihkan sumber daya mereka ke platform yang lebih relevan seperti ARM64 dan RISC-V. Keputusan ini memungkinkan pengembang fokus pada dukungan perangkat modern yang lebih banyak digunakan, sekaligus mempercepat inovasi pada kernel, modul, dan tool keamanan baru.

Perbaikan lain yang lebih subtil tetapi signifikan adalah peningkatan plugin VPN-IP di Xfce. Plugin ini sebelumnya hanya bisa menampilkan IP koneksi VPN pertama, sehingga membatasi pengguna yang menggunakan beberapa koneksi sekaligus. Kini, pengguna dapat memilih antarmuka jaringan mana yang dipantau oleh plugin ini melalui dialog preferensi, sehingga pengalaman pengguna menjadi jauh lebih fleksibel. Fitur ini terutama bermanfaat bagi para profesional keamanan yang sering berpindah koneksi atau bekerja di lingkungan jaringan kompleks.

Tak lengkap rasanya rilis Kali Linux tanpa penambahan tool baru. Pada versi 2025.3, sepuluh alat baru resmi masuk ke repositori. Ada Caido dan Caido-cli yang berfungsi sebagai toolkit audit keamanan web (klien dan server), Detect It Easy (DiE) untuk identifikasi jenis file, serta Gemini CLI, agen AI open source yang menghadirkan kecerdasan buatan langsung di terminal. Ada pula krbrelayx untuk eksploitasi relaying Kerberos, ligolo-mp sebagai solusi pivoting multipemain, llm-tools-nmap yang memadukan kemampuan pemodelan bahasa besar (LLM) dengan pemindaian nmap, mcp-kali-server untuk menghubungkan agen AI dengan Kali, patchleaks yang mendeteksi dan menjelaskan perbaikan keamanan secara rinci, serta vwifi-dkms yang memungkinkan pembuatan jaringan Wi-Fi “dummy” untuk pengujian koneksi. Seluruh alat ini memperkaya ekosistem Kali dan membuka peluang baru dalam pengujian penetrasi modern, termasuk yang berbasis AI.

Dengan kombinasi pembaruan ini, Kali Linux 2025.3 menjadi versi yang layak diperhatikan oleh para profesional keamanan siber. Dukungan Nexmon membuka kembali ruang untuk eksplorasi Wi-Fi tingkat lanjut, perombakan proses pembuatan VM mempercepat penyebaran lingkungan pengujian, penghapusan ARMel menunjukkan komitmen pada efisiensi sumber daya, dan daftar alat baru menghadirkan teknologi cutting-edge langsung ke tangan pengguna. Semua ini menjadikan rilis kali ini tidak hanya sebagai pembaruan rutin, melainkan langkah strategis untuk menjadikan Kali Linux sebagai platform pentesting yang lebih modern, tangguh, dan siap menghadapi tantangan keamanan masa depan.

Kolaborasi Gamaredon dan Turla: Serangan Siber Bersama Menargetkan Ukraina

Kolaborasi Gamaredon dan Turla: Serangan Siber Bersama Menargetkan Ukraina

Para peneliti keamanan siber menemukan bukti mengejutkan mengenai kolaborasi dua kelompok peretas Rusia, Gamaredon dan Turla, yang secara aktif menyasar dan mengompromikan entitas di Ukraina. Temuan ini menandai fase baru ancaman dunia maya, di mana kelompok-kelompok dengan afiliasi berbeda terlihat bekerja sama untuk memperkuat efektivitas serangan mereka.

Menurut laporan terbaru perusahaan keamanan siber Slovakia ESET, pihaknya mengamati penggunaan alat Gamaredon – PteroGraphin dan PteroOdd – untuk mengeksekusi backdoor Kazuar milik kelompok Turla pada salah satu endpoint di Ukraina pada Februari 2025. Indikasi ini menunjukkan bahwa Turla kemungkinan besar memanfaatkan akses Gamaredon untuk menginfeksi mesin tertentu di Ukraina dan mengantarkan backdoor Kazuar.

PteroGraphin dan Peranannya dalam Penyebaran Kazuar

Dalam laporannya yang dibagikan ke The Hacker News, ESET menyebutkan bahwa PteroGraphin digunakan untuk memulai ulang Kazuar v3, kemungkinan setelah aplikasi tersebut crash atau gagal berjalan otomatis. Hal ini menandakan bahwa PteroGraphin berfungsi sebagai metode pemulihan yang digunakan Turla.

Tak hanya itu, pada April dan Juni 2025, ESET juga mendeteksi penyebaran Kazuar v2 melalui dua malware Gamaredon lainnya, yakni PteroOdd dan PteroPaste. Temuan ini memperkuat dugaan adanya pola kerja sama sistematis antara kedua kelompok.

Profil Gamaredon dan Turla

Gamaredon, yang juga dikenal dengan sebutan Aqua Blizzard atau Armageddon, diperkirakan berafiliasi dengan Dinas Keamanan Federal Rusia (FSB) dan telah aktif sejak setidaknya 2013. Kelompok ini bertanggung jawab atas berbagai serangan, terutama terhadap institusi pemerintahan Ukraina.
Sementara itu, Turla – alias Secret Blizzard, Venomous Bear, atau Snake – adalah kelompok spionase siber yang telah beroperasi sejak 2004, bahkan kemungkinan sejak akhir 1990-an. Turla dikenal menargetkan sasaran-sasaran bernilai tinggi, termasuk pemerintah dan entitas diplomatik di Eropa, Asia Tengah, dan Timur Tengah. Mereka pernah membobol organisasi besar seperti Departemen Pertahanan AS pada 2008 dan perusahaan pertahanan Swiss RUAG pada 2014.

Latar Belakang Invasi dan Fokus Serangan

ESET menilai bahwa invasi penuh Rusia ke Ukraina pada 2022 menjadi pemicu konvergensi ini. Dalam beberapa bulan terakhir, serangan mereka semakin memusatkan perhatian pada sektor pertahanan Ukraina, yang menunjukkan peningkatan agresivitas dan koordinasi antar kelompok.

Kazuar sendiri adalah salah satu implant andalan Turla yang terus diperbarui. Sebelumnya, malware ini pernah memanfaatkan bot Amadey untuk menginstal backdoor Tavdig sebelum menjatuhkan alat berbasis .NET. Artefak awal terkait Kazuar telah terlihat sejak 2016, menurut Kaspersky.

Senjata Gamaredon: PteroGraphin, PteroOdd, dan PteroPaste

Di sisi lain, PteroGraphin, PteroOdd, dan PteroPaste merupakan bagian dari gudang senjata Gamaredon yang terus berkembang untuk menyampaikan payload tambahan. PteroGraphin, misalnya, adalah alat PowerShell yang menggunakan add-in Microsoft Excel dan tugas terjadwal sebagai mekanisme persistensi, serta memanfaatkan Telegraph API untuk command-and-control (C2). Alat ini pertama kali ditemukan pada Agustus 2024.

Vektor akses awal yang digunakan Gamaredon belum sepenuhnya jelas. Namun, kelompok ini memiliki rekam jejak menggunakan spear-phishing dan file LNK berbahaya pada media eksternal dengan bantuan alat seperti PteroLNK untuk penyebaran.

Rangkaian Serangan yang Terstruktur

Selama 18 bulan terakhir, indikator terkait Turla telah terdeteksi pada tujuh mesin di Ukraina, empat di antaranya dibobol oleh Gamaredon pada Januari 2025. Versi terbaru Kazuar (Kazuar v3) dilaporkan dideploy pada akhir Februari. Menurut ESET, Kazuar v2 dan v3 memiliki basis kode yang sama, dengan v3 mencakup sekitar 35% lebih banyak baris C# dibanding v2 dan memperkenalkan metode transport jaringan baru melalui web sockets dan Exchange Web Services.

Rantai serangan dimulai ketika Gamaredon mengerahkan PteroGraphin untuk mengunduh downloader PowerShell bernama PteroOdd, yang kemudian mengambil payload dari Telegraph untuk mengeksekusi Kazuar. Payload tersebut dirancang untuk mengumpulkan dan mengeksfiltrasi nama komputer korban serta nomor seri volume drive sistem ke subdomain Cloudflare Workers sebelum meluncurkan Kazuar.

Menariknya, ESET menemukan bahwa Kazuar telah berada di sistem sejak 11 Februari 2025, sehingga ada kemungkinan Gamaredon yang mengunduh backdoor tersebut.

Bukti-Bukti Tambahan dan Teknik Eksfiltrasi Data

Sebagai tanda bahwa fenomena ini bukan kasus tunggal, ESET mengungkapkan keberadaan sampel PteroOdd lain pada mesin berbeda di Ukraina pada Maret 2025 yang juga terinfeksi Kazuar. Malware ini mampu mengumpulkan berbagai informasi sistem, termasuk daftar versi .NET yang terinstal, lalu mengirimkannya ke domain eksternal “eset.ydns[.]eu”. Fakta bahwa toolset Gamaredon tidak memiliki malware berbasis .NET sementara Kazuar berbasis .NET memperkuat dugaan bahwa langkah pengumpulan data ini diperuntukkan bagi Turla.

Gelombang serangan kedua terdeteksi pada pertengahan April 2025, saat PteroOdd digunakan untuk menjatuhkan downloader PowerShell lain yang diberi sandi PteroEffigy. Downloader ini kemudian menghubungi domain “eset.ydns[.]eu” untuk mengirimkan Kazuar v2 (“scrss.ps1”), yang sebelumnya telah didokumentasikan Palo Alto Networks pada akhir 2023.

ESET juga mendeteksi rantai serangan ketiga pada 5 dan 6 Juni 2025, di mana downloader PowerShell bernama PteroPaste digunakan untuk menginstal Kazuar v2 (“ekrn.ps1”) dari domain “91.231.182[.]187” pada dua mesin di Ukraina. Nama “ekrn” diduga sebagai upaya pelaku untuk menyamar sebagai “ekrn.exe,” file asli dari produk keamanan endpoint ESET.

Konfirmasi Kolaborasi Antar Kelompok

“Kami kini meyakini dengan tingkat kepercayaan tinggi bahwa kedua kelompok – yang sama-sama berafiliasi dengan FSB – memang bekerja sama, dan Gamaredon menyediakan akses awal untuk Turla,” ujar peneliti ESET Matthieu Faou dan Zoltán Rusnák.

Temuan ini mempertegas betapa kompleks dan terkoordinasinya ancaman dunia maya yang dihadapi Ukraina. Kolaborasi antar kelompok peretas negara menunjukkan bahwa serangan ke depan mungkin semakin sulit dideteksi dan dicegah tanpa upaya keamanan yang berlapis serta analisis intelijen ancaman yang berkelanjutan.

ShadowLeak: Celah Zero-Click di ChatGPT Deep Research Ungkap Data Gmail Pengguna

ShadowLeak: Celah Zero-Click di ChatGPT Deep Research yang Mengancam Keamanan Data Gmail

Para peneliti keamanan siber mengungkap adanya kerentanan serius pada fitur Deep Research milik OpenAI ChatGPT. Celah ini memungkinkan pelaku ancaman membocorkan data sensitif dari kotak masuk Gmail hanya dengan satu email berisi instruksi tersembunyi – tanpa memerlukan tindakan apa pun dari pengguna.

Serangan ini diberi nama ShadowLeak oleh tim Radware. Menurut laporan, celah tersebut diungkap secara bertanggung jawab pada 18 Juni 2025 dan baru diperbaiki oleh OpenAI pada awal Agustus 2025. Kasus ini menunjukkan bahwa ancaman keamanan berbasis kecerdasan buatan kini semakin canggih, terlebih pada layanan yang mengintegrasikan koneksi langsung ke data pengguna.

Indirect Prompt Injection Tersembunyi di Balik HTML Email

ShadowLeak memanfaatkan teknik indirect prompt injection yang tersembunyi di dalam HTML email. Melalui trik desain seperti font berukuran sangat kecil, teks putih di atas latar putih, atau tata letak manipulatif, instruksi berbahaya dapat disisipkan tanpa terlihat oleh korban. Meski pengguna tidak melihat perintah tersebut, agen AI tetap membacanya dan mengeksekusinya.

Menurut peneliti keamanan Zvika Babo, Gabi Nakibly, dan Maor Uziel, serangan ini berbeda dari penelitian sebelumnya yang bergantung pada rendering gambar di sisi klien. ShadowLeak justru mengekstrak data langsung dari infrastruktur cloud OpenAI, sehingga serangan ini tidak terdeteksi oleh sistem pertahanan lokal maupun korporasi.

Fitur Deep Research: Kekuatan yang Jadi Kelemahan

Deep Research sendiri adalah kemampuan agenik yang diperkenalkan OpenAI pada Februari 2025. Fitur ini dirancang untuk melakukan riset multi-tahap di internet agar menghasilkan laporan mendalam. Konsep serupa juga telah diadopsi oleh chatbot populer lain seperti Google Gemini dan Perplexity.

Namun, dalam kasus ShadowLeak, kemampuan ini justru dimanfaatkan untuk tujuan jahat. Pelaku mengirim email yang tampak biasa, padahal menyimpan instruksi tersembunyi yang meminta agen AI mengumpulkan informasi pribadi dari pesan lain di inbox korban dan mengirimkannya ke server eksternal. Saat pengguna meminta Deep Research menganalisis email Gmail mereka, agen pun tanpa sadar mengeksekusi perintah tersebut dan mentransmisikan data dalam format Base64 menggunakan tool browser.open().

Strategi Eksfiltrasi Data Lewat Base64

Radware menjelaskan bahwa mereka berhasil menciptakan prompt yang secara eksplisit menginstruksikan agen AI untuk menggunakan browser.open() menuju URL berbahaya. Mereka juga membingkai instruksi encoding Base64 seolah sebagai langkah pengamanan data sebelum transmisi, sehingga agen tidak menganggapnya sebagai aktivitas mencurigakan.

Meski proof-of-concept ini bergantung pada pengguna yang mengaktifkan integrasi Gmail, para peneliti menegaskan serangan serupa bisa diperluas ke berbagai konektor lain yang didukung ChatGPT. Mulai dari Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion, hingga SharePoint – semua berpotensi menjadi permukaan serangan baru.

Beda dengan AgentFlayer dan EchoLeak

Keunikan ShadowLeak dibanding kerentanan serupa seperti AgentFlayer dan EchoLeak terletak pada proses eksfiltrasi datanya. Jika serangan sebelumnya terjadi di sisi klien, ShadowLeak berlangsung langsung di lingkungan cloud OpenAI, sehingga lebih sulit dideteksi dan memotong mekanisme pertahanan tradisional. Aspek inilah yang menjadikan ShadowLeak jauh lebih berbahaya dibanding indirect prompt injection sebelumnya.

Tantangan Lain: ChatGPT Dipaksa Memecahkan CAPTCHA

Pengungkapan ShadowLeak datang bersamaan dengan temuan lain dari SPLX, platform keamanan AI. Mereka menunjukkan bahwa dengan kombinasi prompt tertentu dan manipulasi konteks, agen ChatGPT dapat digiring untuk memecahkan CAPTCHA berbasis gambar yang seharusnya dirancang untuk memverifikasi manusia.

Peneliti Dorian Schultz menjelaskan, trik ini melibatkan pembukaan percakapan ChatGPT-4o biasa untuk menyusun rencana “memecahkan CAPTCHA palsu”. Selanjutnya percakapan tersebut ditempelkan ke sesi agen baru dengan klaim “ini diskusi sebelumnya”, sehingga model merasa sudah menyetujui tindakan tersebut. Dengan cara itu, agen memecahkan CAPTCHA nyata tanpa resistensi, bahkan menyesuaikan pergerakan kursor agar menyerupai perilaku manusia.

Pentingnya Integritas Konteks dan Red Teaming

Temuan ini menegaskan pentingnya integritas konteks, kebersihan memori (memory hygiene), dan red teaming berkelanjutan pada sistem AI. Tanpa perlindungan yang tepat, model bisa direkayasa untuk menganggap kontrol keamanan sebagai “palsu” dan kemudian melewati pembatasan.

Kasus ShadowLeak dan eksploit CAPTCHA sama-sama menunjukkan bahwa semakin canggihnya AI, semakin besar pula kebutuhan untuk mengaudit dan menguji sistem tersebut secara berkelanjutan agar tetap aman.

Villager: Framework Penetration Testing Berbasis AI yang Mengguncang Dunia Keamanan Siber

Dunia keamanan siber sedang dihebohkan oleh kemunculan Villager, sebuah AI-powered penetration testing framework yang menggabungkan toolset Kali Linux dengan model DeepSeek AI untuk mengotomatisasi seluruh alur serangan siber. Sejak dirilis di Python Package Index (PyPI) pada Juli 2025 oleh grup asal Tiongkok Cyberspike, Villager telah diunduh lebih dari 10.000 kali hanya dalam dua bulan pertama.

Perubahan Paradigma: Dari Red Team ke Senjata Ancaman

Peneliti Straiker’s AI Research (STAR) menyebut kemunculan Villager sebagai “Cobalt Strike generasi baru”. Awalnya dirancang untuk penetration testing legal, framework ini berpotensi disalahgunakan aktor jahat karena tingkat otomatisasi dan adaptasinya yang tinggi. Seperti halnya Cobalt Strike, Villager berisiko berubah dari alat red team menjadi senjata pilihan bagi pelaku ancaman siber.

Keunggulan Teknis Villager: AI + Kali Linux

Berbeda dari framework tradisional yang mengandalkan scripted playbooks, Villager memanfaatkan natural language processing (NLP) untuk mengubah perintah teks biasa menjadi rangkaian serangan dinamis berbasis AI. Dengan arsitektur Model Context Protocol (MCP) yang terdistribusi, Villager mengoperasikan beberapa layanan kunci:

• MCP Client Service (port 25989) untuk koordinasi pesan.
• Database 4.201 AI system prompts untuk pengambilan keputusan eksploitasi.
• On-demand container creation yang otomatis meluncurkan lingkungan Kali Linux terisolasi untuk pemindaian jaringan dan penilaian kerentanan.

Kontainer ini dilengkapi mekanisme self-destruct 24 jam yang menghapus log dan bukti aktivitas, plus port SSH acak untuk menyulitkan deteksi forensik. Kombinasi sifat transien kontainer dan orkestrasi AI menciptakan hambatan besar bagi tim respons insiden.

Integrasi DeepSeek AI: Serangan Dinamis Sesuai Karakteristik Target

Framework Villager terhubung ke model DeepSeek melalui endpoint kustom http://gpus.dev.cyberspike.top:8000/v1/chat/completions menggunakan model proprietary “al-1s-20250421” dengan tokenisasi GPT-3.5-turbo. Integrasi ini memungkinkan penyesuaian strategi serangan secara dinamis—misalnya otomatis menjalankan WPScan saat mendeteksi WordPress, atau beralih ke browser automation saat menemukan endpoint API. 

Jejak Cyberspike: Dari RAT ke AI Attack Platform

Domain cyberspike[.]top didaftarkan 27 November 2023 oleh Changchun Anshanyuan Technology Co., Ltd., perusahaan Tiongkok yang terdaftar sebagai pengembang AI dan aplikasi perangkat lunak. Namun investigasi menunjukkan minimnya bukti legitimasi perusahaan ini. Arsip situs memperlihatkan Cyberspike sebelumnya memasarkan produk dengan fitur Remote Administration Tool (RAT), reverse proxy, dan multi-stage generator—repackaging dari AsyncRAT yang terkenal digunakan pelaku kejahatan sejak 2019.

Individu di balik Villager diidentifikasi sebagai @stupidfish001, mantan pemain Capture The Flag (CTF) untuk tim HSCSEC asal Tiongkok yang memelihara banyak alamat email.

Arsitektur Command and Control: Penetration Testing Otomatis dari Teks Sederhana

Villager memiliki arsitektur task-based command and control melalui FastAPI (port 37695) yang memungkinkan perintah bahasa alami seperti “Test example.com for vulnerabilities” dipecah otomatis menjadi sub-tugas lengkap dengan dependency tracking dan failure recovery. Operator dapat memantau progres secara real-time melalui berbagai endpoint, menciptakan command center untuk operasi siber berbasis AI.

Fitur tambahan:

• Browser automation (port 8080) untuk interaksi web dan pengujian sisi klien.
• Eksekusi kode langsung melalui fungsi pyeval() dan os_execute_cmd() untuk kemampuan level sistem.

Kombinasi ini menciptakan attack chain yang dapat beradaptasi secara real-time terhadap kerentanan baru dan konfigurasi sistem target.

Dampak bagi Organisasi: Risiko yang Meningkat

Ketersediaan luas Villager di PyPI menciptakan implikasi besar bagi keamanan perusahaan:

• Frekuensi pemindaian eksternal otomatis meningkat.
• Siklus serangan lebih cepat, mempersempit jendela deteksi dan respons.
• Blended attacks menggunakan tool siap pakai mempersulit atribusi.
• Risiko supply chain meningkat bagi pipeline CI/CD atau workstation pengembang yang bisa saja memasang paket berbahaya tanpa sadar.

Rekomendasi Defensive Measures

Untuk menghadapi ancaman ini, para profesional keamanan menyarankan:

• Deploy MCP Protocol Security Gateway untuk inspeksi real-time dan penyaringan komunikasi MCP.
• Deteksi pola pemanggilan tool berbahaya dan perilaku AI agent yang tidak sah.
• Perketat kontrol instalasi paket Python pada server internal.
• Gunakan threat intelligence feed terbaru untuk mendeteksi domain dan IP terkait Cyberspike.

Villager Sebagai Titik Balik AI dalam Keamanan Siber

Kemunculan Villager menunjukkan pergeseran besar di lanskap keamanan siber: AI bukan hanya alat pertahanan, tapi juga akselerator serangan. Integrasi penuh Kali Linux, DeepSeek AI, dan arsitektur MCP menjadikan framework ini unik sekaligus berbahaya. Organisasi harus meningkatkan kewaspadaan dan memperkuat kebijakan keamanan untuk menghadapi era baru AI-powered penetration testing frameworks.

SEO Poisoning Targetkan Pengguna Berbahasa Mandarin: Malware HiddenGh0st, Winos, dan kkRAT Menyebar Lewat Situs Palsu

Peneliti keamanan siber memperingatkan adanya kampanye search engine optimization (SEO) poisoning yang menargetkan pengguna berbahasa Mandarin dengan menyebarkan malware melalui situs perangkat lunak palsu. Ancaman ini pertama kali diungkap Fortinet FortiGuard Labs pada Agustus 2025. Penyerang menggunakan SEO plugins untuk memanipulasi peringkat pencarian Google, mendaftarkan domain tiruan yang menyerupai situs resmi, dan memikat korban agar mengunduh installer berbahaya.

Teknik Penyerang: Manipulasi SEO dan Domain Tiruan

Menurut peneliti Fortinet, Pei Han Liao, pelaku memanfaatkan bahasa yang meyakinkan serta substitusi karakter kecil pada nama domain untuk mengelabui pengguna. Situs palsu tersebut meniru aplikasi populer seperti DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp, dan WPS Office, lalu menyisipkan trojanized installer yang mengandung malware. “Installer yang digunakan bahkan memuat aplikasi asli sekaligus muatan berbahaya, sehingga sulit dideteksi korban,” kata Fortinet.

Di balik situs ini, terdapat skrip bernama nice.js yang mengontrol proses distribusi malware dalam beberapa tahap: memanggil tautan unduhan, mengurai data JSON, lalu mengarahkan korban ke URL installer berbahaya.

HiddenGh0st dan Winos (ValleyRAT): Evolusi Gh0st RAT

Kampanye ini men-deploy malware keluarga HiddenGh0st dan Winos (alias ValleyRAT), keduanya varian remote access trojan (RAT) populer Gh0st RAT. Penggunaan Winos dikaitkan dengan kelompok kejahatan siber Silver Fox (alias SwimSnake, The Great Thief of Valley, UTG-Q-1000, Void Arachne) yang diduga aktif sejak 2022.

Installer berbahaya memuat file DLL jahat “EnumW.dll” untuk menghindari deteksi, memicu inflasi memori, dan memperlambat alat analisis. Ada juga “vstdlib.dll” yang digunakan untuk mengekstrak payload utama sambil mengecek keberadaan antivirus 360 Total Security. Jika terdeteksi, malware menerapkan teknik TypeLib COM hijacking untuk bertahan. Jika tidak, ia membuat Windows shortcut menuju executable “insalivation.exe”. Tujuan akhirnya adalah men-sideload DLL “AIDE.dll” yang menjalankan tiga fungsi inti: Command-and-Control (C2), Heartbeat, dan Monitor – termasuk mencuri data, memantau proses, hingga meretas dompet kripto Ethereum dan Tether.

Kampanye Malware Kedua: kkRAT, FatalRAT, dan Abuse GitHub Pages

Tak hanya Fortinet, Zscaler ThreatLabz juga mengungkap kampanye serupa yang menargetkan pengguna Mandarin sejak Mei 2025. Kampanye ini menggunakan malware baru kkRAT, bersama Winos dan FatalRAT, melalui situs installer palsu yang meniru aplikasi seperti DingTalk dan di-host di GitHub Pages. Dengan cara ini, pelaku memanfaatkan reputasi platform terpercaya untuk distribusi malware.

kkRAT berbagi kesamaan kode dengan Gh0st RAT dan “Big Bad Wolf” (大灰狼), serta memakai protokol komunikasi terenkripsi setelah kompresi data. Fiturnya termasuk manipulasi clipboard untuk mengganti alamat dompet kripto dan pemasangan alat remote monitoring seperti Sunlogin dan GotoHTTP. Installer jahat ini juga meminta hak administrator, mendeteksi sandbox/VM, dan mematikan adapter jaringan untuk melemahkan antivirus.

Teknik BYOVD dan Target Antivirus Populer

Menariknya, malware ini menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk menonaktifkan antivirus, memanfaatkan kode dari proyek sumber terbuka RealBlindingEDR. Targetnya meliputi 360 Internet Security, 360 Total Security, HeroBravo System Diagnostics, Kingsoft Internet Security, dan QQ电脑管家. Setelah mematikan proses antivirus, malware membuat scheduled task dengan hak SYSTEM agar setiap login proses jahat tetap berjalan. Ia juga memodifikasi Registry Windows untuk menonaktifkan pemeriksaan jaringan pada 360 Total Security sebelum mengaktifkan kembali adapter jaringan.

Tahap selanjutnya, malware mengunduh file “2025.bin” yang memicu unduhan dua arsip ZIP – trx38.zip dan p.zip. Teknik DLL side-loading kembali digunakan untuk menjalankan payload terenkripsi di “longlq.cl”. Salah satu payload yang terungkap adalah kkRAT yang mampu screen capturing, remote desktop, eksekusi perintah shell, manajemen proses, enumerasi koneksi jaringan, hingga bertindak sebagai proxy SOCKS5.

Mengapa Ancaman Ini Berbahaya?

Dengan menggabungkan SEO poisoning, trojanized installers, GitHub abuse, dan BYOVD, pelaku kejahatan siber berhasil menciptakan serangan multi-lapis yang sulit dideteksi pengguna awam maupun organisasi. Bahkan hasil pencarian dengan ranking tinggi pun bisa berisi malware. “Kasus ini menekankan pentingnya memeriksa nama domain dengan teliti sebelum mengunduh perangkat lunak,” tutur Fortinet.

Cara Melindungi Diri dari SEO Poisoning dan Malware RAT

• Selalu unduh perangkat lunak hanya dari situs resmi dengan domain yang diverifikasi.
• Periksa ejaan domain (hindari karakter yang tampak mirip).
• Gunakan antivirus yang mutakhir dan aktifkan fitur real-time protection.
• Terapkan prinsip least privilege; jangan sembarang memberi hak administrator.
• Pantau clipboard saat melakukan transaksi kripto.
• Gunakan solusi keamanan jaringan yang mampu mendeteksi aktivitas C2 dan RAT.

Fenomena SEO poisoning yang menyebarkan HiddenGh0st, Winos, FatalRAT, dan kkRAT menandakan tren baru serangan siber yang semakin kompleks. Dengan memanfaatkan popularitas aplikasi terkemuka, manipulasi algoritma pencarian Google, dan penyamaran di platform terpercaya seperti GitHub, pelaku berhasil menjangkau target luas, khususnya pengguna berbahasa Mandarin. Edukasi, cyber hygiene, dan solusi keamanan canggih menjadi kunci untuk memutus rantai serangan semacam ini.

Ancaman Siber Baru Menargetkan Platform Salesforce: FBI Keluarkan Peringatan Darurat.

Badan Investigasi Federal Amerika Serikat (FBI) baru-baru ini mengeluarkan peringatan darurat (flash alert) yang memuat indikator kompromi (IoCs) terkait dua kelompok peretas berinisial UNC6040 dan UNC6395. Kedua grup kriminal siber ini aktif dalam serangkaian operasi pencurian data dan pemerasan dengan memanfaatkan celah keamanan dalam platform Salesforce yang banyak digunakan oleh perusahaan-perusahaan global.

Peringatan dari FBI ini bukanlah tindakan biasa. Ini menandakan adanya ancaman nyata dan terukur yang memerlukan kewaspadaan tinggi, terutama dari organisasi yang mengandalkan ekosistem Salesforce untuk operasional bisnis mereka. Serangan yang dilancarkan oleh kedua kelompok ini menunjukkan kecanggihan dan determinasi yang mengkhawatirkan, dengan teknik akses awal yang berbeda namun sama-sama berdampak fatal.

Kelompok pertama, UNC6395, diidentifikasi sebagai aktor di balik kampanye pencurian data besar-besaran yang menargetkan instance Salesforce pada Agustus 2025. Modus operandi mereka berpusat pada eksploitasi token OAuth yang terkompromi dari aplikasi Salesloft Drift, sebuah chatbot AI populer yang terintegrasi dengan Salesforce.

Sumber masalahnya ternyata bermula dari pelanggaran keamanan yang berlangsung lama. Salesloft, pengembang aplikasi Drift, mengonfirmasi bahwa akun GitHub perusahaan mereka telah dibobol dari bulan Maret hingga Juni 2025. Pembobolan inilah yang memungkinkan para penyerang mendapatkan akses ke kredensial dan token OAuth yang kemudian disalahgunakan untuk menyusup ke Salesforce milik pelanggan Drift.

Menyikapi insiden tersebut, Salesloft mengambil langkah drastis dengan mengisolasi infrastruktur Drift dan sementara waktu menonaktifkan aplikasi chatbot AI-nya. Perusahaan juga sedang dalam proses menerapkan otentikasi multi-faktor baru dan langkah-langkah pengerasan keamanan untuk GitHub. Salesloft secara terbuka menyarankan semua pelanggan Drift untuk memperlakukan semua integrasi dan data yang terkait dengan Drift sebagai sesuatu yang berpotensi telah dikompromikan, menekankan pentingnya audit keamanan menyeluruh.

Sementara UNC6395 memanfaatkan token yang bocor, kelompok kedua, UNC6040, yang aktif sejak Oktober 2024, menggunakan pendekatan yang lebih personal dan manipulatif: vishing (voice phishing). Grup yang diidentifikasi pertama kali oleh Google ini memulai serangannya dengan menelepon karyawan korban dan melakukan rekayasa sosial yang rumit untuk mendapatkan kredensial login.

Yang membedakan UNC6040 adalah kecanggihan teknisnya setelah mendapatkan akses awal. Alih-alih melakukan aksi yang mencolok, mereka diam-diam menggunakan versi modifikasi dari aplikasi resmi Salesforce Data Loader, ditambah dengan skrip Python khusus, untuk menyeduh data secara massal dari portal Salesforce korban. FBI mencatat bahwa para ancaman aktor ini menggunakan kueri API untuk mengeksfiltrasi data dalam volume sangat besar dengan efisien.

Yang lebih mengkhawatirkan, fase pemerasan seringkali terjadi berbulan-bulan setelah pencurian data awal. Korban mungkin tidak menyadari bahwa data mereka telah dicuri sampai tiba-tiba diancam untuk dibocorkan secara publik jika tebusan tidak dibayar.

Fase pemerasan dalam serangan UNC6040 ini diatribusikan oleh Google kepada kelompok lain yang disebut UNC6240, yang secara konsisten mengklaim dirinya sebagai grup ShinyHunters yang terkenal kejam dalam komunikasi pemerasannya. Google juga memperkirakan bahwa ancaman aktor yang menggunakan merek ShinyHunters mungkin akan meningkatkan taktik dengan meluncurkan situs pembocoran data (data leak site/DLS) untuk memberi tekanan lebih besar pada korban.

Namun, perkembangan terbaru justru menunjukkan arah yang seolah-olah berlawanan. Pada 12 September 2025, sebuah kanal Telegram dengan nama "scattered LAPSUS$ hunters 4.0"—

yang diduga merupakan konsolidasi dari grup-grup terkemuka seperti ShinyHunters, Scattered Spider, dan LAPSUS$—

mengumumkan bahwa mereka "mengucapkan selamat tinggal" dan akan "menghilang" karena "tujuan telah terpenuhi".

Para pakar keamanan siber, seperti Sam Rubin dari Unit 42 Consulting, memperingatkan agar komunitas tidak cepat percaya dengan pengumuman "pensiun" ini. Sejarah menunjukkan bahwa kelompok ancaman siber seringkali hanya melakukan rebranding, pecah, dan muncul kembali dengan nama baru. Pengumuman seperti ini bisa jadi hanya strategi untuk mengecoh penegak hukum dan mengurangi sorotan, sementara data yang dicuri tetap dapat muncul di masa depan dan pintu belakang yang tertanam masih mungkin bertahan.