ThreatsDay Bulletin: Rantai Pre-Auth, Rootkit Android, dan Evasion CloudTrail Terbaru

ThreatsDay Bulletin terbaru menghadirkan rangkuman lengkap mengenai ancaman siber terkini yang sedang marak di internet saat ini. Tidak ada basa-basi korporasi atau kuliah membosankan, hanya gambaran cepat dan jujur tentang realitas rumit menjaga keamanan sistem pada minggu ini.

Pergerakan ancaman sangat cepat. Daftar ini mencakup peneliti yang menggabungkan celah-celah kecil menjadi pintu belakang besar, kelemahan perangkat lunak lama yang kembali menghantui, dan trik cerdik baru yang memungkinkan penyerang melewati log keamanan tanpa jejak. Selain itu, terlihat peningkatan lalu lintas mencurigakan di dunia bawah serta masalah rantai pasok yang berulang, di mana satu kode berbahaya dapat mengancam ribuan aplikasi.

Wajib untuk segera melakukan pengecekan cepat sebelum Anda menutup hari ini, agar memastikan tidak ada ancaman ini yang sudah masuk ke jaringan Anda. Berikut detail lengkapnya.

Rantai RCE Pre-Auth pada Progress ShareFile

watchTower Labs mengungkap dua kerentanan keamanan pada Progress ShareFile dengan kode CVE-2026-2699 dan CVE-2026-2701 yang dapat digabungkan untuk mencapai eksekusi kode jarak jauh tanpa autentikasi. CVE-2026-2699 merupakan bypass autentikasi melalui endpoint "/ConfigService/Admin.aspx", sedangkan CVE-2026-2701 adalah eksekusi kode jarak jauh setelah autentikasi. Penyerang dapat menggabungkan kedua celah ini untuk melewati proses login dan mengunggah web shell. Progress telah merilis patch melalui Storage Zone Controller versi 5.12.4 pada 10 Maret 2026. Dengan sekitar 30.000 instance yang terhubung langsung ke internet, patching sangat krusial untuk mencegah eksploitasi.

Rootkit Android Menyebar Lewat 50+ Aplikasi

Malware Android bernama NoVoice telah menyebar melalui lebih dari 50 aplikasi yang diunduh minimal 2,3 juta kali. Aplikasi ini menyamar sebagai utilitas, galeri foto, dan game, namun berusaha mendapatkan akses root dengan mengeksploitasi 22 kerentanan Android yang sudah dipatch antara 2016 hingga 2021. McAfee Labs menjelaskan, "Jika eksploitasi berhasil, malware menguasai penuh perangkat dan setiap aplikasi yang dijalankan disusupi kode pengendali penyerang. Ini memungkinkan pencurian data dari aplikasi tersebut ke server penyerang." Malware ini menghindari perangkat di wilayah seperti Beijing dan Shenzhen serta melakukan pemeriksaan ketat terhadap emulator, debugger, dan VPN. Setelah mendapat akses root, rootkit memodifikasi perpustakaan sistem untuk menjalankan kode jahat saat aplikasi tertentu dibuka, memasang aplikasi sembarangan, dan mempertahankan keberadaannya. NoVoice juga menargetkan WhatsApp untuk mencuri data saat aplikasi diluncurkan. Google telah menghapus aplikasi-aplikasi tersebut dari Play Store. Infeksi terbanyak dilaporkan di Nigeria, Ethiopia, Aljazair, India, dan Kenya.

FBI Waspadai Risiko Aplikasi Mobile Asal Luar Negeri

Biro Investigasi Federal AS (FBI) memperingatkan risiko keamanan data dari aplikasi mobile yang dikembangkan oleh perusahaan asing, khususnya dari China. "Banyak aplikasi terpopuler dan paling banyak diunduh di AS dikembangkan oleh perusahaan asing yang tunduk pada undang-undang keamanan nasional China," ujar FBI. Aplikasi ini dapat mengumpulkan data kontak dengan kedok mengundang teman, menyimpan data di server China, atau menyisipkan malware yang mengakses data lebih dari yang diizinkan. FBI menyoroti potensi backdoor dan malware sulit dihapus yang mengeksploitasi kerentanan sistem operasi untuk mengakses data pengguna secara ilegal. Meskipun FBI tidak menyebutkan nama aplikasi, TikTok, Shein, Temu, dan DeepSeek dianggap sesuai dengan profil risiko ini.

Aktivasi Bureau of Emerging Threats AS

Departemen Luar Negeri AS resmi meluncurkan Bureau of Emerging Threats, unit baru yang bertugas melindungi keamanan nasional dari serangan siber terhadap infrastruktur kritis, ancaman di domain luar angkasa, dan penyalahgunaan kecerdasan buatan serta teknologi maju lainnya dari negara-negara seperti Iran, China, Rusia, dan Korea Utara.

Ekstradisi Bos Cybercrime HuiOne ke China

Li Xiong, mantan ketua konglomerat keuangan Kamboja HuiOne, diekstradisi ke China atas tuduhan operasi judi ilegal, penipuan, praktik bisnis ilegal, dan pencucian uang. Li diduga anggota utama sindikat kejahatan siber lintas negara yang dipimpin Chen Zhi, ketua Prince Group yang diekstradisi Januari 2026 dan didakwa AS atas operasi penipuan "pig butchering" di Asia Tenggara. Pada Mei 2025, jaringan keuangan AS menandai HuiOne sebagai institusi keuangan utama pencucian uang.

Google Luncurkan Fitur Ubah Nama Pengguna Gmail

Google mulai meluncurkan fitur penggantian alamat email untuk pengguna Google Account di AS. "Alamat Gmail lama menjadi alamat email alternatif, dan pengguna menerima email di kedua alamat lama dan baru," jelas Google. Data akun seperti foto, pesan, dan email sebelumnya tidak akan terpengaruh. Pengguna dapat kembali ke alamat lama kapan saja, namun tidak bisa membuat alamat Gmail baru dalam 12 bulan ke depan. Alamat baru ini juga tidak dapat dihapus.

Pengadilan AS Hentikan Label Risiko AI pada Anthropic

Hakim federal AS menangguhkan sementara penetapan Anthropic sebagai risiko rantai pasok oleh pemerintah Trump. Perusahaan AI tersebut menilai label ini menyebabkan kerugian langsung dan tak terelakkan. Hakim Rita Lin menulis, "Tidak ada hukum yang mendukung pencapalan perusahaan AS sebagai musuh hanya karena berbeda pendapat dengan pemerintah."

Kampanye Phishing Serang Pengguna Mobile Android dan iOS

Penjahat siber menargetkan pengguna Android lewat phishing yang menyamar sebagai undangan beta aplikasi ChatGPT dan alat iklan Meta. Pesan berisi tautan aplikasi jahat yang didistribusikan melalui layanan resmi Google Firebase App Distribution. Setelah terpasang, aplikasi meminta kredensial Facebook untuk pencurian data dan pengambilalihan akun. Kampanye serupa mengincar iOS menggunakan email phishing yang menyamar sebagai ChatGPT dan Gemini untuk mendorong pengguna mengunduh aplikasi jahat dari App Store.

Google Drive Tambah Fitur Deteksi dan Pemulihan Ransomware

Google resmi menyediakan fitur deteksi ransomware dan pemulihan file di Drive setelah beta sejak September 2025. Fitur ini menghentikan sinkronisasi saat ransomware terdeteksi dan memungkinkan pemulihan massal file ke versi sebelumnya. "Model AI terbaru kami mendeteksi 14x lebih banyak infeksi, memberikan perlindungan lebih menyeluruh," kata Google.

Aktivitas GhostSocks Meningkat Pesat

Perusahaan keamanan Darktrace melaporkan peningkatan aktivitas GhostSocks sejak akhir 2025. Malware ini mengubah perangkat yang terinfeksi menjadi proxy residential menggunakan protokol SOCKS5 untuk mengalihkan lalu lintas jahat. GhostSocks sering beroperasi bersama malware Lumma Stealer dan masih aktif meski ada upaya gangguan infrastruktur Lumma.

Lonjakan Malware di Ekosistem Open-Source 14x Lipat

Jumlah advisori malware di ekosistem open-source melonjak 13,6 kali sejak Januari 2024, akibat pengambilalihan akun paket-paket terpercaya untuk meracuni rantai pasok perangkat lunak. Endor Labs mencatat 930 dari 1.011 advisori npm ATO terjadi sepanjang 2025, dengan 38,4% paket terpengaruh memiliki lebih dari 1.000 unduhan per bulan. Penyerang mengincar paket yang sangat digunakan dalam sistem produksi dan pipeline CI/CD otomatis untuk memaksimalkan dampak kompromi.

XLoader Perkuat Taktik Penyembunyian

Varian terbaru malware pencuri informasi XLoader v8.7 menggunakan obfuscation kode canggih, termasuk string terenkripsi yang didekripsi saat runtime dan blok kode terenkripsi, agar sulit dianalisis dan dideteksi. XLoader juga meng-enkripsi lalu lintas jaringan dengan beberapa lapisan kunci berbeda, serta menggunakan server palsu dan teknik obfuscation kode yang kuat.

Zero-Day ImageMagick Buka Jalan untuk RCE

Para peneliti menemukan beberapa zero-day di ImageMagick yang dapat digabungkan untuk menjalankan kode jarak jauh melalui upload gambar atau PDF. Kerentanan ini berdampak pada distribusi Linux utama dan instalasi WordPress yang memproses upload gambar dan belum diperbaiki. Disarankan menjalankan proses PDF di sandbox terisolasi tanpa akses jaringan, menonaktifkan XML-RPC WordPress, dan memblokir GhostScript sementara waktu.

Penyerang Sukses Lewati Logging AWS CloudTrail

Penyerang kini menggunakan API AWS yang kurang dikenal untuk menonaktifkan sistem logging CloudTrail secara diam-diam, berbeda dari metode StopLogging atau DeleteTrail yang mudah terdeteksi. Taktik ini menciptakan "zona aktivitas tak terlihat" dengan memanipulasi PutEventSelectors, StopEventDataStoreIngestion, dan DeleteEventDataStore untuk menghapus bukti forensik. Mereka juga menonaktifkan deteksi anomali dan perlindungan lintas akun, sehingga dapat menghilangkan jejak serangan secara efektif.

LofyGang Gunakan Malware RAT Berlapis Ganda

Grup LofyGang kembali dengan paket npm palsu "undicy-http" yang menyebarkan serangan dual-payload: Remote Access Trojan (RAT) berbasis Node.js dengan streaming layar dan binary Windows PE yang menyuntikkan kode langsung ke proses browser untuk mencuri kredensial, cookie, kartu kredit, IBAN, dan token sesi dari lebih 50 browser serta 90 ekstensi dompet kripto. RAT ini juga membajak sesi aplikasi populer seperti Roblox, Instagram, Spotify, TikTok, Steam, Telegram, dan Discord. Kontrol dilakukan melalui panel WebSocket, dengan data dieksfiltrasi memakai webhook Discord dan bot Telegram.

Analisis Redaksi

Menurut pandangan redaksi, rangkaian ancaman yang terlihat seolah kecil dan terpisah sebenarnya merupakan bagian dari pola serangan yang semakin kompleks dan tersembunyi. Eksploitasi rantai kerentanan tanpa autentikasi pada ShareFile dan teknik rootkit yang menyasar perangkat Android lawas menunjukkan bahwa penyerang semakin jeli dalam memanfaatkan celah lama yang belum ditambal secara optimal.

Lebih jauh, metode evasion yang digunakan untuk menghindari deteksi pada AWS CloudTrail dan pengembangan malware seperti XLoader yang semakin canggih menandakan bahwa sistem keamanan tradisional harus terus beradaptasi dengan ancaman yang kian halus dan sulit dikenali. Peningkatan malware dalam ekosistem open-source juga menambah risiko rantai pasok perangkat lunak yang berdampak luas bagi organisasi besar hingga pengembang individu.

Masyarakat dan pelaku industri harus waspada terhadap aplikasi mobile asing yang berpotensi mengandung malware tersembunyi, serta terus melakukan patch dan pembaruan rutin pada perangkat dan aplikasi yang digunakan. Ke depan, kolaborasi antara pemerintah, industri teknologi, dan komunitas keamanan siber akan menjadi kunci utama dalam menghadapi ancaman yang semakin cepat dan terorganisir ini. Simak terus perkembangan terbaru agar tidak terkejut dengan pola serangan baru yang muncul.

Untuk informasi lebih detail, Anda dapat membaca langsung di sumber aslinya dan mengikuti berita keamanan siber di media terpercaya seperti CNN Indonesia Tekno.