Smishing Triad: Kampanye Smishing Global Terkait China Serang 194.000 Domain Jahat (Malicious) di Seluruh Dunia

Kampanye Smishing Skala Besar Mengguncang Dunia Siber

Sebuah kampanye smishing global yang sangat masif berhasil diungkap oleh tim riset keamanan dari Palo Alto Networks Unit 42, yang mengidentifikasi lebih dari 194.000 domain berbahaya sejak 1 Januari 2024. Serangan ini menargetkan berbagai layanan di seluruh dunia, menunjukkan koordinasi tingkat tinggi di antara para pelaku ancaman siber.

Menurut laporan peneliti Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, dan Moe Ghasemisharif, domain-domain tersebut terdaftar melalui registrar berbasis Hong Kong dan menggunakan nameserver berbahasa Mandarin. Namun, infrastruktur utama serangan justru dihosting pada layanan cloud populer asal Amerika Serikat, seperti Cloudflare.

Smishing Triad: Dari Penipuan SMS ke Ekosistem PhaaS Global

Kampanye ini diatribusikan pada kelompok peretas Smishing Triad, entitas yang memiliki keterkaitan dengan China. Kelompok ini dikenal karena membanjiri ponsel korban dengan pesan SMS palsu berupa pemberitahuan pelanggaran tol atau kesalahan pengiriman paket. Tujuannya jelas — memancing pengguna agar segera bereaksi dan menyerahkan data sensitif mereka.

Keuntungan finansial dari operasi ini sangat besar. Menurut laporan The Wall Street Journal, para pelaku telah menghasilkan lebih dari 1 miliar dolar AS dalam tiga tahun terakhir. Bahkan, laporan terbaru dari Fortra menyebutkan bahwa kit phishing milik Smishing Triad kini menargetkan akun pialang saham untuk mencuri kredensial perbankan dan kode autentikasi. Serangan terhadap akun-akun ini meningkat lima kali lipat pada kuartal kedua tahun 2025 dibandingkan periode yang sama tahun sebelumnya.

Peneliti keamanan Alexis Ober menjelaskan bahwa setelah berhasil membobol akun, pelaku menggunakan taktik manipulasi pasar saham yang disebut “ramp and dump.” Teknik ini meninggalkan jejak yang nyaris tak terlacak, meningkatkan risiko finansial secara signifikan bagi para korban.

Ekosistem Kriminal Terstruktur dalam Model PhaaS

Unit 42 menemukan bahwa Smishing Triad telah berevolusi dari sekadar pembuat phishing kit menjadi komunitas kriminal aktif yang mengintegrasikan berbagai pelaku dalam satu ekosistem Phishing-as-a-Service (PhaaS).

Ekosistem ini terdiri dari berbagai peran penting:

• Pengembang phishing kit yang merancang template serangan,

• Broker data yang menjual nomor telepon target,

• Penyedia domain sementara,

• Penyedia hosting server,

• Spammer yang mengirim pesan secara massal,

• Pemindai nomor aktif (liveness scanner), serta

• Pemindai blocklist untuk memastikan domain berbahaya tidak terdeteksi terlalu cepat.

Analisis Unit 42 menunjukkan bahwa 93.200 dari 136.933 domain utama (68,06%) terdaftar di bawah Dominet (HK) Limited, registrar asal Hong Kong. Domain dengan akhiran “.com” mendominasi, namun dalam tiga bulan terakhir terjadi peningkatan signifikan pada domain “.gov”.

Siklus Domain Cepat untuk Hindari Deteksi

Dari seluruh domain yang dianalisis, 39.964 (29,19%) aktif hanya selama dua hari atau kurang, dan lebih dari 71% aktif kurang dari seminggu. Sebanyak 82,6% domain hanya bertahan maksimal dua minggu, sementara kurang dari 6% memiliki masa aktif lebih dari tiga bulan.

Menurut Unit 42, tingginya tingkat pergantian domain menunjukkan strategi yang bergantung pada pendaftaran domain baru secara berkelanjutan agar mampu menghindari deteksi sistem keamanan. Total 194.345 nama domain (FQDN) tersebut terhubung dengan sekitar 43.494 alamat IP unik, sebagian besar berada di AS dan dihosting oleh Cloudflare (AS13335).

Layanan yang Paling Sering Ditiru

Penelitian juga menemukan beberapa temuan penting:

• USPS (U.S. Postal Service) menjadi layanan paling sering ditiru dengan 28.045 domain palsu.

• Layanan tol dan transportasi merupakan kategori dengan volume serangan tertinggi, dengan sekitar 90.000 domain phishing.

• Infrastruktur serangan terbesar berada di Amerika Serikat, diikuti oleh China dan Singapura.

• Serangan juga meniru bank, bursa kripto, layanan pengiriman, kepolisian, perusahaan milik negara, media sosial, hingga e-commerce di Rusia, Polandia, dan Lituania.

Pada serangan yang berpura-pura sebagai layanan pemerintah, korban sering diarahkan ke halaman palsu yang menampilkan tagihan tol atau biaya layanan yang belum dibayar. Dalam beberapa kasus, pelaku bahkan menggunakan jebakan ClickFix, memancing korban untuk menjalankan kode berbahaya dengan dalih menyelesaikan verifikasi CAPTCHA.

UTA0388: Kampanye Siber Pro-China yang Gunakan ChatGPT dan GOVERSHELL untuk Serangan Spear-Phishing Global

Kelompok ancaman siber yang berafiliasi dengan China, dikenal dengan kode UTA0388, menjadi sorotan dunia keamanan digital setelah terungkap melancarkan kampanye spear-phishing internasional yang menyasar organisasi di Amerika Utara, Asia, dan Eropa. Kampanye ini menggunakan malware canggih berbasis bahasa pemrograman Go yang dikenal dengan nama GOVERSHELL, menjadikannya salah satu operasi spionase siber paling kompleks yang terdeteksi sepanjang 2025.

Menurut laporan dari firma keamanan Volexity, pesan-pesan phishing yang pertama kali diamati dibuat sangat spesifik dan tampak sah, seolah-olah dikirim oleh peneliti atau analis senior dari organisasi profesional. Namun, organisasi tersebut sepenuhnya palsu. Tujuannya jelas: mengelabui target agar mengklik tautan berbahaya yang mengarah ke arsip berisi muatan malware. Pendekatan personal ini memperlihatkan kemampuan tinggi UTA0388 dalam rekayasa sosial (social engineering), memanfaatkan kepercayaan manusia untuk menembus lapisan pertahanan siber perusahaan.

Evolusi Serangan: Dari Cloud Hosting hingga Rapport-Building Phishing

Dalam fase awal, pelaku UTA0388 menyebarkan tautan phishing melalui layanan cloud populer seperti Netlify, Sync, dan OneDrive, serta melalui infrastruktur milik mereka sendiri. Ketika korban mengakses tautan tersebut, sistem mereka tanpa sadar mengunduh arsip berformat ZIP atau RAR yang berisi file DLL jahat. File ini kemudian dijalankan secara diam-diam menggunakan teknik DLL side-loading, metode yang sering dipakai untuk mem-bypass deteksi antivirus dan mengeksekusi backdoor tanpa menarik perhatian pengguna.

Namun, seiring waktu, metode UTA0388 berkembang menjadi lebih rumit. Mereka mulai menerapkan strategi rapport-building phishing, yaitu membangun hubungan dengan target terlebih dahulu—baik melalui email, forum, atau platform profesional—sebelum akhirnya mengirimkan tautan berbahaya. Teknik ini membuat serangan mereka tampak lebih meyakinkan dan jauh lebih sulit dikenali oleh sistem keamanan konvensional.

Malware GOVERSHELL: Senjata Utama dalam Operasi Siber UTA0388

Inti dari seluruh kampanye ini adalah malware GOVERSHELL, sebuah backdoor yang dikembangkan dengan bahasa Go (Golang). Menurut temuan Volexity, GOVERSHELL merupakan penerus dari malware C++ lama bernama HealthKick, dan saat ini telah ditemukan dalam lima varian berbeda yang masing-masing memiliki fungsi unik:

1. HealthKick (April 2025): Menjalankan perintah melalui cmd.exe.

2. TE32 (Juni 2025): Mengeksekusi perintah secara langsung lewat PowerShell reverse shell.

3. TE64 (Juli 2025): Menggunakan PowerShell untuk mengumpulkan informasi sistem dan menjalankan perintah dinamis.

4. WebSocket (Juli 2025 pertengahan): Mengirim perintah PowerShell dan memiliki sub-command “update” yang belum diaktifkan.

5. Beacon (September 2025): Mampu menyesuaikan interval polling, merandomisasinya, dan menjalankan PowerShell secara native.

Setiap varian menunjukkan bahwa GOVERSHELL terus dikembangkan secara aktif. Bahkan, dalam beberapa kasus, malware ini dapat memodifikasi perilakunya secara dinamis tergantung pada sistem yang diserang.

Penyalahgunaan Layanan Sah dan Infrastruktur Email Terenkripsi

Serangan UTA0388 tidak hanya mengandalkan malware berteknologi tinggi. Mereka juga menyalahgunakan layanan dan platform sah untuk menyamarkan aktivitas mereka. Arsip berbahaya kerap diunggah ke layanan berbagi file seperti Netlify, Sync, dan OneDrive, sementara email pengirim sering berasal dari Proton Mail, Microsoft Outlook, dan Gmail—platform populer yang memiliki reputasi aman. Strategi ini mempersulit deteksi otomatis oleh sistem keamanan karena domain dan penyedia layanan yang digunakan terlihat sah di permukaan.

Selain itu, aktivitas UTA0388 tumpang tindih dengan kelompok lain yang dilacak oleh Proofpoint dengan nama UNK_DropPitch, menandakan adanya kemungkinan koordinasi atau pertukaran infrastruktur antar kelompok pro-China. 

Pemanfaatan ChatGPT: Automasi Kampanye dan Konten Phishing Multibahasa

Hal yang paling mengkhawatirkan dari seluruh operasi ini adalah penggunaan ChatGPT oleh kelompok UTA0388. Laporan terbaru menyebutkan bahwa pelaku menggunakan model bahasa besar (LLM) untuk membuat konten phishing dalam berbagai bahasa—termasuk Inggris, Mandarin, dan Jepang—serta untuk membantu menulis skrip berbahaya dan mencari panduan instalasi alat open-source seperti nuclei dan fscan.

OpenAI telah mengonfirmasi bahwa akun-akun ChatGPT yang digunakan untuk tujuan ini sudah diblokir, namun kasus ini membuka mata dunia terhadap potensi penyalahgunaan kecerdasan buatan dalam operasi siber. Indikasi otomatisasi juga terlihat pada koherensi pesan yang buruk dan persona fiktif yang diciptakan tanpa keterlibatan manusia nyata. 

Target Geopolitik dan Dampak Regional

Analisis Volexity menunjukkan bahwa sasaran utama dari kampanye ini memiliki keterkaitan dengan isu geopolitik Asia, terutama Taiwan. Serangan UTA0388 tampaknya dirancang untuk mengumpulkan intelijen strategis dan politik, bukan sekadar mencuri data finansial. Hal ini sejalan dengan pola aktivitas kelompok siber pro-China lainnya yang berfokus pada pengawasan dan pengaruh geopolitik regional.

Dalam laporan terpisah, StrikeReady Labs juga mengungkap bahwa kampanye siber serupa—yang diduga masih terkait dengan jaringan pro-China—telah menargetkan departemen penerbangan pemerintah Serbia, serta lembaga di Hungaria, Belgia, Italia, dan Belanda. Serangan tersebut menggunakan metode phishing serupa dengan halaman verifikasi Cloudflare palsu yang mengarahkan korban untuk mengunduh arsip ZIP berisi Windows shortcut (LNK) yang mengeksekusi malware PlugX.

Kampanye UTA0388 menjadi contoh nyata evolusi serangan siber modern yang menggabungkan rekayasa sosial, eksploitasi infrastruktur cloud, dan kecerdasan buatan (AI) untuk mencapai efisiensi tinggi. Penggunaan ChatGPT dalam menciptakan konten phishing multibahasa memperlihatkan bagaimana AI kini menjadi alat baru dalam operasi spionase digital.

Dengan terus berkembangnya varian GOVERSHELL dan meningkatnya otomatisasi serangan, organisasi perlu memperkuat deteksi email berlapis, analisis perilaku endpoint, serta pemantauan komunikasi keluar (outbound monitoring) untuk mendeteksi anomali sekecil apa pun. Dalam era di mana AI bisa digunakan untuk tujuan destruktif, kesiapan dan kewaspadaan menjadi benteng utama melawan ancaman seperti UTA0388.

CVE-2025-10725: Celah Kritis di Red Hat OpenShift AI Ancam Infrastruktur Cloud

Celah Keamanan Baru di OpenShift AI

Red Hat baru saja mengumumkan adanya kerentanan serius pada OpenShift AI, platform manajemen siklus hidup model kecerdasan buatan (AI) berskala besar. Layanan ini banyak digunakan untuk menangani alur kerja prediktif dan generatif AI, mulai dari akuisisi data, pelatihan model, fine-tuning, hingga monitoring performa dan akselerasi perangkat keras.

Kerentanan yang terdaftar dengan kode CVE-2025-10725 ini memiliki skor CVSS 9.9 dari 10, menandakan tingkat ancaman yang sangat tinggi. Meski demikian, Red Hat mengklasifikasikan kerentanan ini sebagai “Important” alih-alih “Critical” karena eksploitasi membutuhkan autentikasi. Artinya, seorang penyerang tetap harus memiliki akun sah di dalam lingkungan OpenShift AI untuk dapat melancarkan aksinya.

Bagaimana CVE-2025-10725 Bekerja

Menurut penjelasan resmi Red Hat, seorang pengguna dengan hak akses terbatas — misalnya data scientist yang menggunakan notebook Jupyter standar — dapat memanfaatkan kerentanan ini untuk meningkatkan hak aksesnya menjadi administrator penuh pada kluster. Jika skenario ini terjadi, maka kerahasiaan, integritas, dan ketersediaan dari seluruh sistem akan sepenuhnya terganggu.

Dampaknya sangat luas. Penyerang bisa mencuri data sensitif yang tersimpan, mengganggu jalannya semua layanan, serta mengambil kendali penuh atas infrastruktur di balik platform. Lebih jauh lagi, aplikasi yang di-hosting pada OpenShift AI juga dapat sepenuhnya disusupi. Hal ini menunjukkan bahwa serangan semacam ini dapat berujung pada total compromise terhadap sistem cloud perusahaan.

Versi OpenShift AI yang Terpengaruh

Berdasarkan laporan Red Hat, beberapa versi OpenShift AI yang terdampak kerentanan ini mencakup:

• Red Hat OpenShift AI 2.19

• Red Hat OpenShift AI 2.21

• Red Hat OpenShift AI (RHOAI)

Ketiga versi tersebut saat ini dianggap berisiko dan memerlukan penerapan mitigasi segera agar tidak dieksploitasi pihak berbahaya.

Mitigasi dan Rekomendasi Red Hat

Untuk mengurangi risiko eksploitasi CVE-2025-10725, Red Hat menyarankan agar pengguna tidak memberikan izin yang terlalu luas pada kelompok sistem-level. Salah satu perhatian utama adalah ClusterRoleBinding yang mengaitkan kueue-batch-user-role dengan system:authenticated group.

Sebagai gantinya, Red Hat menekankan pentingnya penerapan prinsip least privilege. Hak untuk membuat job sebaiknya diberikan secara granular hanya kepada pengguna atau grup tertentu yang memang membutuhkan, bukan secara menyeluruh. Pendekatan ini memastikan bahwa jika ada pengguna yang akunnya disusupi, ruang geraknya tetap terbatas sehingga kerusakan bisa diminimalkan.

Implikasi untuk Dunia Cloud dan AI

Kerentanan CVE-2025-10725 menyoroti betapa pentingnya keamanan pada platform manajemen AI di era cloud. OpenShift AI digunakan secara luas oleh perusahaan untuk mengelola model kecerdasan buatan dalam skala besar, terutama dalam lingkungan hybrid cloud yang kompleks.

Jika celah ini berhasil dieksploitasi, bukan hanya data yang terancam, tetapi juga seluruh infrastruktur cloud yang menopang operasional bisnis. Serangan semacam ini berpotensi menyebabkan downtime layanan kritis, kebocoran informasi sensitif, hingga kerugian finansial dalam jumlah besar. Bagi organisasi yang bergantung pada AI untuk operasi sehari-hari, risiko ini menjadi semakin signifikan.

Lebih jauh lagi, kasus ini kembali mengingatkan komunitas teknologi bahwa keamanan cloud tidak hanya bergantung pada enkripsi data atau autentikasi, tetapi juga pada kontrol akses internal yang ketat. Dalam banyak kasus, penyerang tidak lagi hanya mencoba masuk dari luar, tetapi juga memanfaatkan celah dari dalam dengan memanipulasi akun berizin terbatas.

Celah keamanan CVE-2025-10725 pada Red Hat OpenShift AI adalah pengingat bahwa bahkan platform AI dan cloud yang paling canggih sekalipun tidak kebal dari ancaman siber. Skor CVSS yang hampir sempurna (9.9) menegaskan tingkat bahayanya, meskipun eksploitasi membutuhkan autentikasi.

Organisasi yang menggunakan OpenShift AI, khususnya versi 2.19, 2.21, dan RHOAI, disarankan segera mengikuti pedoman mitigasi yang telah dikeluarkan Red Hat. Mengadopsi prinsip least privilege, memperketat akses, serta memantau aktivitas pengguna adalah langkah krusial untuk meminimalisasi risiko.

Di tengah meningkatnya adopsi AI dan cloud computing, insiden ini menyoroti bahwa keamanan harus menjadi prioritas utama, bukan fitur tambahan. Tanpa langkah pencegahan yang kuat, platform yang dirancang untuk mendukung inovasi justru bisa menjadi pintu masuk bagi serangan yang merusak.

Battering RAM: Serangan Baru Guncang Keamanan CPU Intel dan AMD di Cloud Computing

Battering RAM: Ancaman Baru untuk Keamanan Cloud

Sebuah tim peneliti dari KU Leuven dan University of Birmingham mengungkapkan kerentanan baru bernama Battering RAM yang berhasil menembus lapisan pertahanan terbaru pada prosesor cloud Intel dan AMD. Celah ini menjadi perhatian serius karena memengaruhi sistem yang menggunakan memori DDR4, terutama dalam lingkungan cloud computing yang mengandalkan enkripsi memori untuk menjaga kerahasiaan data.

Dengan menggunakan perangkat interposer sederhana senilai sekitar 50 dolar, para peneliti menunjukkan bagaimana alat ini dapat bekerja secara transparan saat sistem menyala dan melewati semua pemeriksaan kepercayaan. Namun, hanya dengan satu kali saklar, perangkat tersebut bisa berubah menjadi berbahaya dan secara diam-diam mengalihkan alamat memori terlindungi ke lokasi yang dikendalikan penyerang. Teknik ini memungkinkan penyusupan ke area memori terenkripsi tanpa terdeteksi, membuka peluang korupsi data maupun penyisipan kode berbahaya.

Dampak terhadap Intel SGX dan AMD SEV-SNP

Battering RAM terbukti mampu melemahkan dua teknologi keamanan andalan: Intel Software Guard Extensions (SGX) dan AMD Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP). Kedua fitur ini dirancang untuk melindungi data pengguna dengan memastikan memori tetap terenkripsi bahkan saat digunakan.

Pada platform Intel, serangan ini dapat memberikan akses baca arbitrer ke plaintext korban atau menyisipkan data berbahaya langsung ke enclave. Sementara pada AMD, Battering RAM bisa melewati mitigasi firmware terbaru terhadap celah sebelumnya bernama BadRAM dan memungkinkan penyerang menanamkan backdoor ke dalam mesin virtual tanpa menimbulkan kecurigaan.

Hal ini menimbulkan risiko besar terutama bagi penyedia cloud atau pihak internal dengan akses fisik terbatas. Dengan celah ini, mereka bisa membobol mekanisme remote attestation dan menyusupkan kode berbahaya ke dalam beban kerja yang seharusnya terlindungi.

Keterbatasan Desain Enkripsi Memori

Para peneliti menekankan bahwa serangan ini mengungkap kelemahan mendasar dari desain enkripsi memori berskala besar yang digunakan Intel dan AMD. Demi mendukung ukuran memori yang lebih besar, keduanya mengabaikan pemeriksaan kriptografis terhadap freshness data. Akibatnya, Battering RAM dapat menciptakan alias memori baru secara dinamis saat runtime, melewati pemeriksaan aliasing yang biasanya hanya dilakukan saat booting.

Vendor besar seperti Intel, AMD, dan Arm sudah diberi tahu mengenai temuan ini. Namun, mereka menilai bahwa serangan fisik seperti ini masih dianggap berada di luar cakupan ancaman resmi. Padahal, menurut para peneliti, mitigasi terhadap Battering RAM membutuhkan desain ulang mendasar terhadap sistem enkripsi memori itu sendiri.

Tren Serangan Baru terhadap Keamanan CPU

Temuan Battering RAM muncul di tengah rangkaian laporan mengenai kerentanan baru pada prosesor modern. AMD baru-baru ini mendapat sorotan setelah riset dari University of Toronto (Heracles) dan ETH Zürich (Relocate-Vote) membuktikan adanya kebocoran data pada teknologi SEV-SNP. Penyerang bisa memanfaatkan manipulasi data oleh hypervisor untuk mengungkap pola dalam memori terenkripsi.

Tidak berhenti di situ, ETH Zürich juga menemukan potensi penyalahgunaan fitur stack engine pada prosesor AMD Zen 5 yang dapat dieksploitasi sebagai kanal samping. Sementara itu, VU Amsterdam mengungkap celah L1TF Reloaded, kombinasi teknik L1 Terminal Fault dan Half-Spectre yang dapat membocorkan memori virtual machine di cloud publik.

Belum lama ini, serangan VMScape (CVE-2025-40300) juga diperkenalkan oleh akademisi ETH Zürich. Serangan ini memanfaatkan celah pada prosesor AMD Zen dan Intel Coffee Lake untuk menembus isolasi virtualisasi dan membocorkan memori antarproses.

Implikasi bagi Cloud Computing dan Masa Depan Keamanan

Battering RAM dan rangkaian serangan serupa memperlihatkan tantangan serius dalam menjaga keamanan di era cloud computing. Infrastruktur cloud yang dipercaya menyimpan data sensitif jutaan pengguna kini dihadapkan pada ancaman bahwa perlindungan hardware-level tidaklah mutlak.

Bagi penyedia cloud, temuan ini menegaskan perlunya lapisan keamanan tambahan di luar sekadar mengandalkan enkripsi memori bawaan prosesor. Bagi industri, ini menjadi panggilan untuk meninjau kembali desain arsitektur CPU agar mampu menghadapi ancaman fisik maupun digital dengan lebih tangguh.

Pada akhirnya, Battering RAM bukan hanya serangan teknis, melainkan peringatan bahwa batas keamanan hardware modern masih bisa ditembus dengan cara yang sederhana namun efektif. Dunia komputasi awan kini harus lebih waspada terhadap eksploitasi baru yang terus bermunculan di lini prosesor canggih.

Insiden Pertama Malicious MCP Server: Ancaman Baru di Rantai Pasokan Perangkat Lunak

Insiden Pertama Malicious MCP Server: Ancaman Baru di Rantai Pasokan Perangkat Lunak

Peneliti keamanan siber baru-baru ini menemukan kasus pertama di dunia nyata dari server Model Context Protocol (MCP) yang bersifat jahat, menandai risiko serius pada rantai pasokan perangkat lunak. Menurut laporan Koi Security, seorang pengembang yang terlihat sah berhasil menyisipkan kode berbahaya di dalam paket npm bernama postmark-mcp, yang meniru pustaka resmi dari Postmark Labs dengan nama sama. Fungsi berbahaya ini muncul pada versi 1.0.16, dirilis pada 17 September 2025.

Pustaka postmark-mcp asli, yang tersedia di GitHub, memungkinkan pengguna untuk mengirim email, mengakses dan menggunakan template email, serta melacak kampanye menggunakan bantuan kecerdasan buatan (AI). Namun, paket npm palsu yang diunggah oleh pengembang dengan username "phanpak" pada 15 September 2025 telah dihapus setelah ditemukan. Paket ini tercatat memiliki total 1.643 unduhan.

Versi berbahaya ini menyalin setiap email yang dikirim melalui server MCP ke alamat email pengembang "phan@giftshop[.]club" melalui mekanisme BCC, sehingga berpotensi mengekspos komunikasi sensitif. Menurut Chief Technology Officer Koi Security, Idan Dardikman, “Postmark-mcp backdoor tidaklah kompleks, tapi ini membuktikan betapa rapuhnya sistem ini. Satu pengembang, satu baris kode, dan ribuan email berhasil dicuri.”

Para pengembang yang pernah menginstal paket ini disarankan segera menghapusnya dari alur kerja mereka, mengganti kredensial yang mungkin telah terekspos melalui email, dan memeriksa log email untuk aktivitas BCC mencurigakan. Snyk menambahkan, server MCP biasanya memiliki kepercayaan tinggi dan izin luas dalam agent toolchains, sehingga data yang ditangani bisa sangat sensitif, termasuk pengaturan ulang kata sandi, faktur, komunikasi pelanggan, hingga memo internal. Backdoor ini dirancang khusus untuk mengekstrak email dari alur kerja yang bergantung pada MCP server tersebut.

Temuan ini menyoroti bagaimana aktor ancaman terus memanfaatkan kepercayaan pengguna terhadap ekosistem open-source, termasuk ekosistem MCP yang masih baru, untuk keuntungan mereka, terutama ketika diterapkan dalam lingkungan bisnis kritikal tanpa pengamanan yang memadai.

Dalam pernyataan resmi, Postmark menegaskan bahwa paket npm postmark-mcp bukanlah paket resmi mereka. Platform pengiriman email ini menyatakan bahwa paket palsu dibuat oleh pihak jahat yang meniru nama mereka untuk mencuri data email. “Kami tidak mengembangkan, mengotorisasi, atau memiliki keterlibatan apapun dengan paket npm 'postmark-mcp'. API dan layanan resmi Postmark tetap aman dan tidak terpengaruh oleh insiden ini,” jelas pihak Postmark.

Insiden ini menjadi peringatan penting bagi pengembang dan perusahaan yang mengandalkan paket open-source: keamanan rantai pasokan perangkat lunak bukan hanya soal kode yang terlihat sah, tetapi juga validasi terhadap setiap dependensi yang digunakan dalam lingkungan produksi.

EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

EvilAI: Serangan Malware Global yang Menyamar sebagai Aplikasi AI dan Produktivitas

Para peneliti keamanan siber memperingatkan tentang kampanye malware global yang menggunakan alat-alat kecerdasan buatan (AI) dan perangkat lunak produktivitas palsu untuk menyusup ke sistem organisasi di seluruh dunia. Berdasarkan laporan Trend Micro, kampanye ini menargetkan berbagai wilayah, termasuk Eropa, Amerika, serta kawasan Asia, Timur Tengah, dan Afrika (AMEA), dengan sektor manufaktur, pemerintahan, kesehatan, teknologi, dan ritel menjadi yang paling terdampak. Negara-negara seperti India, Amerika Serikat, Prancis, Italia, Brasil, Jerman, Inggris, Norwegia, Spanyol, dan Kanada mencatat infeksi terbanyak, menunjukkan bahwa ancaman ini bersifat global.

Kampanye ini, yang diberi kode nama EvilAI oleh Trend Micro, menandai kemampuan luar biasa para aktor ancaman dalam mengaburkan garis antara perangkat lunak asli dan palsu. Malware ini disisipkan dalam aplikasi yang tampak sah seperti AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister, dan Tampered Chef. Menurut para peneliti, serangan ini menggunakan sertifikat digital dari perusahaan sementara untuk membuat aplikasi terlihat resmi, bahkan ketika sertifikat lama sudah dicabut, sehingga sulit terdeteksi oleh pengguna maupun sistem keamanan.

Tujuan akhir dari kampanye EvilAI adalah melakukan rekognisi mendalam, mengekstraksi data browser sensitif, serta menjaga komunikasi terenkripsi waktu nyata dengan server command-and-control (C2). Malware ini memanfaatkan berbagai metode propagasi, termasuk situs web yang meniru portal vendor, iklan berbahaya, manipulasi SEO, dan tautan unduhan yang dipromosikan di forum maupun media sosial. Fungsi utamanya adalah sebagai stager, memungkinkan akses awal, mempertahankan keberadaan di sistem yang terinfeksi, dan menyiapkan sistem untuk muatan tambahan, sambil memetakan perangkat lunak keamanan yang terpasang.

Lebih lanjut, analisis G DATA menunjukkan bahwa pengembang di balik OneStart, ManualFinder, dan AppSuite menggunakan infrastruktur server yang sama untuk mendistribusikan dan mengonfigurasi program-program ini. Malware seperti BaoLoader, yang dipakai sebagai komponen utama kampanye ini, berperan sebagai backdoor untuk mengeksekusi perintah apa pun pada sistem yang terinfeksi, sering kali digunakan untuk penipuan iklan. Sementara itu, TamperedChef awalnya dikenal sebagai aplikasi resep yang tampak aman, namun sebenarnya menjalankan fungsionalitas backdoor yang sama.

Eksploitasi malware ini memanfaatkan kerangka NeutralinoJS untuk mengeksekusi kode JavaScript secara tersembunyi, memungkinkan akses ke sistem berkas, proses, dan komunikasi jaringan tanpa terdeteksi. Teknik lain termasuk penggunaan Unicode homoglyphs untuk menyembunyikan payload dalam respons API yang tampak sah, mempersulit pendeteksian berbasis string atau signature. Keberadaan beberapa penerbit sertifikat digital di berbagai sampel menunjukkan kemungkinan adanya malware-as-a-service atau pasar sertifikat digital yang memfasilitasi distribusi skala besar.

EvilAI menjadi peringatan nyata tentang evolusi metode distribusi malware modern. Penyalahgunaan aplikasi yang tampak sah, kode digital yang resmi, dan teknik penyamaran canggih memungkinkan malware ini melewati pertahanan titik akhir, mengeksploitasi kepercayaan pengguna, dan menyusup ke jaringan organisasi tanpa disadari. Para profesional keamanan menekankan pentingnya deteksi dini, validasi sertifikat, serta pemantauan perilaku aplikasi untuk mencegah kerugian finansial, reputasi, dan kebocoran data yang luas.

CISA Masukkan Kerentanan Kritis Sudo ke Daftar KEV: Ancaman CVE-2025-32463 untuk Linux dan Unix

CISA Masukkan Kerentanan Kritis Sudo ke Daftar KEV: Ancaman CVE-2025-32463 untuk Linux dan Unix

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru-baru ini menambahkan sebuah kerentanan kritis yang memengaruhi utilitas Sudo pada sistem operasi Linux dan Unix-like ke dalam katalog Known Exploited Vulnerabilities (KEV). Penambahan ini dilakukan setelah adanya bukti bahwa celah tersebut telah dieksploitasi secara aktif di dunia maya, menandai ancaman serius bagi para administrator sistem dan organisasi yang mengandalkan Sudo.

Kerentanan yang diberi kode CVE-2025-32463 ini memiliki skor CVSS 9.3 dan memengaruhi semua versi Sudo sebelum 1.9.17p1. Disampaikan oleh peneliti Stratascale, Rich Mirch, pada Juli 2025, celah ini muncul dari “inclusion of functionality from an untrusted control sphere.” CISA menjelaskan bahwa kerentanan ini memungkinkan penyerang lokal memanfaatkan opsi -R (--chroot) Sudo untuk menjalankan perintah arbitrer sebagai root, meskipun pengguna tersebut tidak tercantum dalam file sudoers. Hingga saat ini, detail eksploitasi di dunia nyata maupun identitas aktor di balik serangan belum sepenuhnya terungkap.

Selain CVE-2025-32463, CISA juga menambahkan empat kerentanan lainnya ke katalog KEV yang telah diketahui dieksploitasi aktif. Di antaranya, CVE-2021-21311 pada Adminer yang memungkinkan serangan server-side request forgery untuk mencuri informasi sensitif, dan CVE-2025-20352 pada Cisco IOS dan IOS XE yang menimbulkan risiko overflow buffer di SNMP subsystem. Kerentanan lain termasuk CVE-2025-10035 pada Fortra GoAnywhere MFT yang memungkinkan command injection melalui deserialisasi data yang tidak tepercaya, serta CVE-2025-59689 pada Libraesva Email Security Gateway yang memungkinkan command injection via lampiran email terkompresi.

Mengantisipasi risiko serangan aktif, CISA mengimbau seluruh Federal Civilian Executive Branch (FCEB) yang menggunakan produk terdampak untuk segera menerapkan mitigasi yang diperlukan paling lambat 20 Oktober 2025. Upaya mitigasi ini menjadi penting untuk melindungi jaringan, mencegah eskalasi hak akses, dan menjaga keamanan data kritis organisasi.

Kasus CVE-2025-32463 menekankan pentingnya patching rutin dan pemantauan keamanan proaktif pada sistem Linux dan Unix, terutama bagi organisasi yang mengoperasikan server penting. Dengan eksploitasi yang sudah terjadi di alam nyata, kegagalan untuk segera memperbaiki celah ini dapat membuka jalan bagi serangan lokal dengan potensi eskalasi hak istimewa yang serius, termasuk akses root tidak sah yang dapat menimbulkan kerusakan luas.

Seiring meningkatnya ancaman siber global, organisasi dan administrator sistem perlu menilai risiko celah keamanan kritis secara rutin, mengintegrasikan mekanisme pemantauan ancaman, serta memastikan seluruh patch keamanan diterapkan tanpa penundaan. CVE-2025-32463 adalah pengingat bahwa keamanan sistem bukan sekadar teori, melainkan tindakan proaktif yang mencegah kemungkinan serangan yang dapat mengganggu operasi dan integritas data.

Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan Siber Biaya Raksasa: Dampak Cyberattack £206 Juta Terhadap Keuangan Co-op

Serangan siber yang menimpa jaringan supermarket Inggris, Co-op, telah menimbulkan dampak finansial yang mengejutkan. Perusahaan ini mengungkap bahwa insiden yang terjadi awal tahun ini mengakibatkan kerugian pendapatan sebesar £206 juta (sekitar $276 juta), dengan estimasi pukulan £120 juta ($161 juta) terhadap laba tahunan. Angka ini menandai salah satu kerugian terbesar yang pernah dialami Co-op akibat serangan siber, yang juga mengguncang reputasi dan kepercayaan pelanggan.

Dalam laporan semester yang berakhir 5 Juli, Co-op melaporkan kerugian mendasar sebelum pajak sebesar £75 juta, berbanding dengan laba £3 juta pada periode yang sama tahun sebelumnya. Selain dampak langsung serangan siber, meningkatnya biaya tenaga kerja dan beban regulasi turut menekan kinerja keuangan. Perusahaan bahkan memperkirakan biaya keseluruhan akan jauh lebih besar pada paruh kedua tahun ini karena dampak lanjutan insiden tersebut.

Rachel Izzard, Chief Financial Officer Co-op, menjelaskan kepada Reuters bahwa “pukulan terhadap paruh pertama adalah £80 juta, dan kami percaya dampaknya untuk setahun penuh adalah £120 juta, termasuk pemulihan asuransi.” Namun, ia juga mengungkapkan bahwa perlindungan asuransi yang dimiliki Co-op sangat terbatas. “Kami hanya memiliki elemen front-end dari asuransi siber dalam hal kemampuan respons awal teknologi pihak ketiga, tetapi kami tidak yakin akan mengklaim asuransi untuk kerugian di sisi back-end,” tambahnya. Total pendapatan Co-op yang dilaporkan mencapai £5,48 miliar, lebih rendah dari £5,6 miliar yang dibukukan pada periode yang sama tahun 2024.

Serangan ini dikaitkan dengan operasi ransomware bernama Scattered Spider. Robert Elsey, Chief Digital and Information Officer Co-op, mengungkapkan bahwa para pelaku berhasil menyusup melalui teknik social engineering dengan menyamar sebagai karyawan internal. Kelompok ini dilaporkan mencuri data pribadi 20 juta pelanggan Co-op. CEO Shirine Khoury-Haq juga mengonfirmasi bahwa data pribadi 6,5 juta anggota Co-op, baik yang aktif maupun mantan anggota, telah diretas. Insiden ini memperlihatkan betapa luasnya dampak serangan siber modern yang kini dapat melumpuhkan seluruh aspek bisnis, dari pelanggan hingga operasional.

Para pakar keamanan menilai insiden ini sebagai peringatan serius bagi dunia usaha. Simon Phillips, CTO Engineering CybaVerse, mengatakan kepada Cybernews bahwa “serangan siber saat ini bisa menghancurkan bisnis, mempengaruhi hampir setiap fungsi, mulai dari pelanggan, karyawan, operasional hingga keuntungan. Namun, banyak pimpinan bisnis masih belum menyadari konsekuensi ini dan kurang berinvestasi dalam pertahanan, sehingga organisasi mereka tetap rentan.” Phillips menambahkan bahwa kerugian sebesar £206 juta adalah angka yang luar biasa dan hanya sedikit organisasi yang mampu bertahan. “Beruntung bagi organisasi sebesar Co-op, ini adalah pukulan berat tetapi masih bisa dipulihkan,” ujarnya.

Otoritas setempat juga bergerak cepat. Pada Juli, National Crime Agency (NCA) menangkap empat orang yang diduga terlibat dalam serangan terhadap Co-op, Marks & Spencer, dan Harrods. Insiden di Marks & Spencer mempengaruhi sistem pembayaran nirsentuh dan memaksa penghentian pemrosesan pesanan online untuk pakaian dan perlengkapan rumah selama 46 hari. Sementara itu, pada serangan terhadap Harrods, peretas mencoba mendapatkan akses tidak sah ke beberapa sistemnya.

Menurut Andy McKay, Kepala IT dan Layanan Keamanan Siber di Converged Communication Solutions, kerugian yang dialami Co-op memberikan pandangan nyata tentang besarnya dampak ransomware saat ini. “Banyak bisnis yang enggan mengeluarkan biaya untuk keamanan siber, melihatnya sebagai pengeluaran opsional yang tidak memberikan pengembalian langsung. Ini sangat keliru,” katanya. McKay menekankan bahwa ROI dari keamanan siber adalah kelangsungan bisnis, operasi yang aman dan tanpa gangguan, serta terhindarnya data sensitif pelanggan, karyawan, dan perusahaan dari risiko. Selain itu, investasi ini juga mencegah denda kepatuhan regulasi serta kerugian finansial dan reputasi yang tak tergantikan.

Tren serangan semacam ini bukan hanya dialami Co-op. McKay menyebutkan bahwa tahun ini Marks & Spencer juga terkena dampak hingga £300 juta, sedangkan serangan yang sedang berlangsung terhadap Jaguar Land Rover telah menghentikan lini produksi perusahaan, membuat puluhan pemasoknya terancam kolaps. Kerugian dari serangan ini dilaporkan mencapai £50 juta per minggu. McKay menegaskan bahwa bagi para pemimpin bisnis, situasi ini harus menjadi peringatan keras untuk memahami risiko nyata dari kurangnya investasi pada keamanan siber. “Bukan hanya teknologi yang terancam, begitu penyerang berhasil masuk ke jaringan, segalanya bisa berisiko,” pungkasnya.

Artikel ini memperlihatkan dengan jelas bahwa serangan siber modern bukan lagi masalah teknis belaka, melainkan ancaman strategis yang dapat menghancurkan fondasi keuangan, reputasi, dan kelangsungan bisnis. Kasus Co-op menjadi contoh nyata mengapa investasi pada keamanan siber bukan sekadar biaya, melainkan penopang utama keberlangsungan perusahaan di era digital.