Kampanye Password Spraying Iran Serang 300+ Organisasi Microsoft 365 Israel

Sebuah kampanye password spraying yang diduga terkait dengan kelompok siber Iran telah menargetkan lebih dari 300 organisasi Microsoft 365 di Israel dan beberapa organisasi di Uni Emirat Arab (UAE) sepanjang Maret 2026. Serangan ini menandai eskalasi risiko keamanan siber di kawasan Timur Tengah yang tengah mengalami ketegangan politik dan militer.

Kampanye Password Spraying Terstruktur dalam Tiga Gelombang

Menurut laporan dari perusahaan keamanan siber Israel, Check Point, kampanye ini berlangsung dalam tiga gelombang berbeda: pada tanggal 3, 13, dan 23 Maret 2026. Serangan ini tidak hanya mempengaruhi Israel dengan lebih dari 300 target, tetapi juga lebih dari 25 organisasi di UAE, serta sejumlah kecil target di Eropa, Amerika Serikat, Inggris, dan Arab Saudi.

Kampanye ini terutama menargetkan lingkungan cloud yang digunakan oleh berbagai sektor penting, termasuk pemerintah, pemerintahan daerah, teknologi, transportasi, energi, serta perusahaan swasta di kawasan tersebut.

Apa Itu Password Spraying dan Bagaimana Cara Kerjanya?

Password spraying adalah teknik serangan brute-force yang menggunakan satu kata sandi umum untuk dicoba pada banyak akun pengguna di aplikasi yang sama. Teknik ini dianggap lebih efektif untuk menemukan kredensial lemah dalam skala besar tanpa memicu mekanisme pembatasan login (rate-limiting) yang biasanya menghalangi upaya brute-force.

Check Point mengungkapkan bahwa teknik ini telah lama digunakan oleh kelompok hacker Iran seperti Peach Sandstorm dan Gray Sandstorm (sebelumnya dikenal sebagai DEV-0343) untuk menyusup ke jaringan target.

Kampanye ini berlangsung melalui tiga fase utama:

• Pemindaian agresif atau password spraying menggunakan node keluar Tor;
• Proses login yang berhasil;
• Ekfiltrasi data sensitif, termasuk isi kotak surat elektronik.

Analisis log Microsoft 365 menunjukkan kemiripan dengan modus operandi Gray Sandstorm, termasuk penggunaan alat red-team melalui node Tor. Aktor ancaman juga menggunakan VPN komersial yang dihosting di AS35758 (Rachamim Aviel Twito), konsisten dengan aktivitas siber Iran di Timur Tengah.

Strategi Pencegahan dan Mitigasi Serangan Siber Iran

Untuk melindungi sistem dari ancaman ini, Check Point menyarankan langkah-langkah berikut:

1. Memantau log masuk (sign-in logs) untuk deteksi indikasi password spraying;
2. Menerapkan kontrol akses kondisional yang membatasi autentikasi hanya dari lokasi geografis yang disetujui;
3. Mewajibkan penggunaan autentikasi multi-faktor (MFA) bagi seluruh pengguna;
4. Mengaktifkan audit log guna membantu investigasi jika terjadi kompromi.

Iran Menghidupkan Kembali Operasi Ransomware Pay2Key

Kampanye password spraying ini terungkap bersamaan dengan serangan ransomware yang dilakukan oleh kelompok Pay2Key, yang juga terkait dengan pemerintah Iran. Pada akhir Februari 2026, sebuah organisasi kesehatan di AS menjadi korban serangan ini.

Pay2Key adalah operasi ransomware-as-a-service (RaaS) yang muncul pertama kali pada 2020 dan terkait dengan kelompok Fox Kitten. Versi terbaru dari ransomware ini menggunakan teknik penghindaran, eksekusi, dan anti-forensik yang lebih canggih dibandingkan kampanye sebelumnya pada Juli 2025.

Menurut Beazley Security dan Halcyon, dalam serangan terbaru tidak terjadi ekfiltrasi data, berbeda dengan metode double extortion yang biasa dipakai kelompok ini.

Serangan tersebut diyakini memanfaatkan akses jarak jauh yang sah seperti TeamViewer untuk masuk, kemudian mencuri kredensial guna bergerak lateral di jaringan, menonaktifkan Microsoft Defender Antivirus dengan trik agar sistem mengira antivirus lain yang aktif, menyulitkan pemulihan sistem, menyebarkan ransomware, menebar catatan tebusan, dan membersihkan log untuk menghapus jejak.

"Dengan membersihkan log di akhir eksekusi, pelaku memastikan aktivitas ransomware sendiri juga terhapus, bukan hanya aktivitas sebelumnya," kata Halcyon.

Selain itu, Pay2Key menaikkan persentase bagi hasil bagi afiliasi menjadi 80% dari hasil tebusan, meningkat dari 70%, untuk serangan yang menargetkan musuh Iran. Varian Linux ransomware ini juga terdeteksi mulai Maret 2026, memiliki kemampuan enkripsi canggih dan strategi untuk bertahan melalui restart sistem.

Ancaman Siber Lain dari Kelompok Pro-Iran dan Pro-Palestina

Pada Maret 2026, Halcyon juga melaporkan bahwa administrator ransomware Sicarii, bernama Uke, mendorong operator pro-Iran menggunakan Baqiyat 313 Locker (atau BQTlock). BQTlock ini beroperasi dengan motif pro-Palestina dan telah menargetkan UAE, AS, dan Israel sejak Juli 2025.

Check Point menyatakan, "Iran memiliki rekam jejak panjang dalam menggunakan operasi siber sebagai balasan atas ketegangan politik. Ransomware semakin sering digunakan dalam operasi ini, mengaburkan batas antara pemerasan kriminal dan sabotase yang disponsori negara."

Analisis Redaksi

Menurut pandangan redaksi, serangan password spraying yang terorganisir oleh aktor terkait Iran ini menegaskan betapa pentingnya kesiapsiagaan siber negara-negara di Timur Tengah, terutama Israel dan UAE, yang menjadi sasaran utama. Teknik password spraying yang relatif sederhana tapi efektif ini menunjukkan bahwa ancaman siber tidak selalu harus menggunakan malware canggih untuk menimbulkan dampak besar.

Selain itu, kebangkitan kembali ransomware Pay2Key dengan metode yang lebih canggih dan agresif menandakan eskalasi ancaman siber yang menyasar sektor vital seperti kesehatan. Ini menjadi peringatan bagi organisasi untuk memperkuat keamanan berlapis, terutama mengaktifkan MFA dan audit log.

Ke depan, pengawasan terhadap aktivitas siber yang menggunakan infrastruktur anonim seperti Tor dan VPN komersial harus diperketat. Negara-negara yang menjadi sasaran perlu berkoordinasi lebih erat dalam pertukaran intelijen keamanan siber agar bisa mencegah dan merespons serangan dengan lebih cepat dan efektif.

Untuk informasi lebih detail dan update terbaru mengenai serangan siber serta tips perlindungan keamanan digital, Anda dapat mengikuti laporan dari The Hacker News dan sumber terpercaya lainnya.