ThreatsDay 2026: Serangan Cloud Bucket, Rantai LPE Windows, dan Penggerebekan Penipuan Global

Jul 9, 2026 - 22:40
 0  3
ThreatsDay 2026: Serangan Cloud Bucket, Rantai LPE Windows, dan Penggerebekan Penipuan Global

Dalam edisi ThreatsDay minggu ini, sejumlah insiden keamanan siber signifikan terungkap, mulai dari pengambilalihan cloud bucket, rantai eskalasi privilege lokal (LPE) pada Windows, hingga penggerebekan besar-besaran terhadap jaringan penipuan global. Insiden-insiden ini menunjukkan bagaimana celah kecil dalam administrasi keamanan dapat berkontribusi pada serangan berskala besar dan dampak serius.

Ad
Ad

Penggerebekan Penipuan Global: Operasi First Light 2026

Operasi internasional yang melibatkan 97 negara dan wilayah berhasil menangkap 5.811 tersangka dan menyita aset ilegal sebesar 293 juta dolar AS. Operasi yang berlangsung dari 15 Januari hingga 30 April 2026 ini fokus pada skema rekayasa sosial dan pencucian uang terkait. Menurut INTERPOL, lebih dari 142.000 korban berhasil diidentifikasi, dengan 23.000 kasus terpecahkan dan 15.606 tersangka diidentifikasi.

  • Di Eswatini, 82 orang ditangkap terkait jaringan judi online ilegal dan penipuan impersonasi.
  • Polisi Thailand menangkap dua tersangka dan mengungkap skema pencucian uang dari penipuan asmara yang melibatkan konversi dana ke cryptocurrency menggunakan token swap lintas rantai.

Operasi ini menjadi pengingat betapa luas dan berbahayanya ancaman penipuan siber lintas negara.

Serangan Typosquatting pada SDK Pembayaran

Kelompok ancaman meluncurkan 17 paket berbahaya pada platform npm dan PyPI yang meniru SDK dari layanan pembayaran seperti Paysafe, Skrill, dan Neteller. Paket-paket ini mencuri informasi sistem dan rahasia pengembang, lalu mengirimkannya ke endpoint Ngrok. Malware ini sengaja menghindari mesin yang terdeteksi sebagai sandbox atau lingkungan analisis untuk mengelabui sistem keamanan.

Socket menjelaskan bahwa targeting SDK pembayaran mengindikasikan motif finansial atau monetisasi melalui akun pembayaran yang diretas. Teknik obfuscation yang digunakan pun berbeda-beda agar tidak mudah dilacak.

Teknik Penginjeksian Kode Stealth: Process Parameter Poisoning

Peneliti keamanan mengungkap teknik baru bernama Process Parameter Poisoning (P³) yang memungkinkan penyisipan kode ke proses lain tanpa memicu alarm keamanan. Keunggulan utama teknik ini adalah tidak ada proses atau thread yang dihentikan saat injeksi berlangsung, sehingga lebih sulit dideteksi.

"P³-Shellcode Loader menggunakan struktur Parameter Proses sebagai lokasi eksekusi dan staging untuk shellcode, tanpa memicu mekanisme deteksi umum," ujar Max Hirschberger dan Ogulcan Ugur, peneliti keamanan.

Celah Kritis pada Esri ArcGIS Server

Versi 12.0 dan sebelumnya dari Esri ArcGIS Server memiliki kerentanan traversal direktori yang memungkinkan akses file sensitif tanpa autentikasi dengan memanipulasi parameter path. Horizon3.ai menegaskan bahwa celah ini memiliki skor CVSS tinggi (9.8/7.5) dan berbahaya karena dapat diakses secara remote oleh penyerang tanpa kredensial.

Rantai Ransomware Interlock dan Rhysida

IBM X-Force mengungkap hubungan erat antara operasi ransomware Interlock (Hive0163) dan kelompok TAG-124 (KongTuke). Keduanya menggunakan malware khusus seperti NodeSnake, Interlock RAT, dan JunkFiction downloader yang memiliki basis kode dan exploit serupa. Rhysida menggunakan downloader Endico dan ransomware Tomb yang diduga terkait dengan operator IceNova dan ITG23.

Analisis ini menunjukkan kemungkinan kolaborasi pengembang malware di balik berbagai kampanye ransomware yang merajalela sejak Mei 2024.

Peringatan Data Claude oleh China

Badan Kerentanan Nasional China (CNVDB) mengimbau pengembang untuk segera menghapus versi Claude Code 2.1.91 hingga 2.1.196 karena mengandung "backdoor" yang dapat mengumpulkan data pengguna secara diam-diam, termasuk lokasi dan identitas, lalu mengirimkannya ke server jarak jauh. CNVDB menekankan pentingnya peningkatan pengawasan dan pembaruan perangkat lunak untuk menghindari kebocoran data sensitif.

Hal ini terjadi setelah laporan bahwa Claude memiliki kode tersembunyi untuk mencegah perusahaan AI China mengekstrak informasi modelnya.

Serangan Phishing Microsoft Teams dengan Malware EtherRAT

Unit 42 Palo Alto Networks menemukan kampanye phishing yang menggunakan kombinasi email palsu dan panggilan Microsoft Teams palsu dari "Administrator Sistem" untuk mengelabui korban menginstal EtherRAT. Pelaku memanfaatkan fitur kontrol jarak jauh Teams untuk mengendalikan komputer korban dan memasang perangkat lunak RMM seperti HopToDesk dan AnyDesk guna mempertahankan akses.

Kelompok Scattered Spider dan 0ktapus

Menurut Group-IB, Scattered Spider adalah kelompok kriminal siber terdesentralisasi dengan subkelompok 0ktapus yang melakukan serangan rekayasa sosial besar, termasuk serangan terhadap Twilio pada 2022. Kelompok ini menggunakan pencurian perangkat fisik untuk SIM swapping dan menargetkan berbagai sektor untuk pencurian kripto dan ransomware dengan tujuan pemerasan.

Skema Spionase LINE di Taiwan

Otoritas Taiwan menuntut dua pengusaha lokal karena diduga membantu hacker terkait pemerintah China dalam kampanye spionase menggunakan akun LINE yang disewa untuk menyamar sebagai jurnalis internasional. Akun-akun tersebut digunakan untuk membangun kepercayaan dan menyebarkan malware yang menargetkan politisi, akademisi, dan kelompok masyarakat sipil. Perusahaan China Xiamen Empress Information Technology disebut sebagai penyewa akun LINE tersebut.

Abuse Meta Business Account Manager untuk Phishing

Sejak November 2025, pelaku tidak dikenal menyalahgunakan layanan Meta Business Account Manager untuk mengirim spam yang melewati filter email dan menipu korban menyerahkan data akun Meta mereka melalui halaman web palsu. Pada Juni 2026, metode phishing diperbarui dengan chatbot di Facebook Messenger dan kredensial dikirim ke channel Telegram privat. Target utama adalah bisnis, dengan pencurian data termasuk kode MFA dan identitas resmi.

Rantai Eksploitasi LPE Windows lewat EPM Poisoning

Peneliti SafeBreach Ron Ben Yizhak menjelaskan bagaimana celah di protokol RPC dan layanan Data Sharing Service Windows dapat dieksploitasi untuk menyamar sebagai server RPC palsu dan menjalankan tugas terjadwal untuk meningkatkan privilege dari rendah ke menengah. Kerentanan ini (CVE-2025-59200) memungkinkan penyerang melewati User Interface Privilege Isolation (UIPI) demi eskalasi hak akses.

Kerentanan Driver SD Card Realtek

Beberapa celah kritis ditemukan di driver SD card Realtek (RtsPer.sys) yang memungkinkan pengguna tanpa hak istimewa mengakses memori kernel dan fisik melalui DMA. Driver ini digunakan di berbagai laptop OEM seperti Dell dan Lenovo. Patch lengkap telah dirilis pada Agustus 2024 untuk menutup celah-celah ini.

Perilaku Baru Ransomware WhiteLock dan Prinz Eugen

Ransomware WhiteLock diketahui mematikan layanan remote access seperti AnyDesk dan TeamViewer untuk mencegah respon cepat dari korban. Sementara Prinz Eugen, ransomware baru yang muncul Mei 2026, menggunakan enkripsi rekursif dan algoritma ChaCha20-Poly1305 tanpa meninggalkan catatan tebusan di disk. Penyerang ROOTBOY yang sebelumnya melakukan jual beli data mempromosikan Prinz Eugen di forum gelap.

Hijack Ekstensi Chrome GhostChrome-X

GhostChrome-X adalah malware yang menargetkan model kepercayaan ekstensi Google Chrome dengan memodifikasi file konfigurasi dan metadata agar ekstensi jahat diterima sebagai komponen resmi. Malware ini menggabungkan akses browser dengan eksekusi perintah tingkat sistem operasi, serta mengumpulkan cookie, riwayat browsing, dan data formulir, bahkan memantau aktivitas WebAuthn untuk interaksi jahat dalam sesi browser korban.

Serangan Phishing Refund Pajak di India

Kampanye phishing menggunakan iming-iming pengembalian pajak penghasilan India untuk menyerang korban dengan malware AsyncRAT dan LX RAT. Kampanye ini memanfaatkan email dan dokumen palsu untuk mengelabui pengguna mengunduh malware berbahaya.

Analisis Redaksi

Menurut pandangan redaksi, rangkaian insiden yang disajikan dalam ThreatsDay kali ini menegaskan bahwa serangan siber modern semakin mengandalkan celah administratif dan sosial, bukan hanya eksploitasi teknis besar-besaran. Keamanan cloud, SDK pembayaran, dan perangkat lunak populer seperti Windows dan ArcGIS menjadi titik lemah utama yang sering diabaikan oleh organisasi.

Lebih jauh, penggerebekan global terhadap jaringan penipuan menunjukkan perlunya kolaborasi internasional lebih intensif untuk mengatasi kejahatan siber yang lintas batas. Sementara itu, penggunaan teknik injeksi kode stealth dan malware berbasis browser seperti GhostChrome-X memperlihatkan evolusi ancaman yang semakin canggih dan sulit dideteksi.

Ke depan, perusahaan dan pengguna harus meningkatkan hygiene keamanan dengan memperketat pengelolaan akses, memperbarui perangkat lunak secara rutin, serta melatih kesadaran keamanan dalam menghadapi serangan phishing dan rekayasa sosial. Tetap mengikuti informasi terbaru dari sumber terpercaya sangatlah penting untuk meminimalkan risiko dan dampak serangan siber.

Untuk informasi lebih lengkap dan update terkini terkait ancaman siber, Anda dapat mengunjungi sumber resmi ThreatsDay atau situs berita keamanan siber terkemuka lainnya.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad