Ancaman Siber Terbaru: FortiGate RaaS, Eksploitasi Citrix, Phishing LiveChat & Lainnya
- RaaS Baru Eksploitasi Kerentanan FortiGate
- Rantai Eksploitasi Remote Code Execution di Platform ITSM
- Hijack Loader dan Malware C2 SnappyClient yang Tersembunyi
- Abuse Deep Link CursorJack untuk Eksekusi Perintah
- Gelombang Eksploitasi Masif Kerentanan Citrix
- Phishing Melalui Microsoft Teams Mengancam Akses Remote
- ClickFix Sebarkan Backdoor Berbasis AutoHotKey
- Stealer ACRStealer Terbaru Menyebar Lewat Game Bajakan
- Phishing LiveChat Curigai Data Sensitif
- RagaSerpent Perluas Spionase ke Asia Tenggara
- DJI Perbaiki Celah Akses Perangkat Romo Smart Vacuum
- WhatsApp Uji Fitur Password Alfanumerik untuk Amankan Akun
- Kelompok Ransomware 0APT Diduga Palsu
- Google Blokir 1,75 Juta Aplikasi Android Berbahaya di 2025
- Hanya 1% Kerentanan yang Dieksploitasi Secara Massif
- Parlemen Eropa Perpanjang Aturan Deteksi CSAM Hingga 2027
- Malware AOT dengan Teknik Evasi Canggih
- Analisis Redaksi
ThreatsDay Bulletin kembali hadir di The Hacker News dengan sejumlah ancaman siber yang terasa "biasa tapi berbahaya". Tidak ada serangan besar yang mengejutkan secara langsung, tetapi banyak metode lama yang seharusnya sudah tidak efektif lagi ternyata masih berhasil menginfeksi sistem. Berbagai teknik yang terkesan sederhana atau ceroboh ternyata tetap ampuh dan menunjukkan bagaimana para pelaku kejahatan siber terus mengasah cara serangan mereka agar lebih praktis dan sulit dideteksi.
RaaS Baru Eksploitasi Kerentanan FortiGate
Kelompok ransomware bernama The Gentlemen merupakan Ransomware-as-a-Service (RaaS) yang baru muncul dan memiliki sekitar 20 anggota. Menurut laporan Group-IB, kelompok ini bermula dari sengketa pembayaran antara operator "hastalamuerte" dengan operator ransomware Qilin terkait komisi afiliasi sebesar $48.000. Mereka memanfaatkan kerentanan CVE-2024-55591, yaitu bypass autentikasi kritis pada FortiOS/FortiProxy, untuk mendapatkan akses awal ke perangkat FortiGate.
Kelompok ini diketahui telah mengeksploitasi sekitar 14.700 perangkat FortiGate di seluruh dunia dan memiliki 969 kredensial VPN yang divalidasi dari serangan brute force. Teknik evasi yang mereka gunakan termasuk bring your own vulnerable driver (BYOVD) untuk menghentikan proses keamanan di tingkat kernel. Sejak Juli/Agustus 2025, sudah ada sekitar 94 organisasi yang menjadi korban serangan mereka.
Rantai Eksploitasi Remote Code Execution di Platform ITSM
Sebuah rantai eksploitasi yang kompleks ditemukan pada BMC FootPrints, sebuah solusi IT Service Management (ITSM) populer. Empat kerentanan (CVE-2025-71257 sampai CVE-2025-71260) dapat digabungkan menjadi serangan remote code execution tanpa autentikasi.
Serangan dimulai dari bypass autentikasi yang memungkinkan pencurian token sesi tamu, lalu digunakan untuk menyerang endpoint Java dengan deserialisasi yang tidak aman. Teknik ini memungkinkan penulisan file sembarangan ke direktori web Tomcat, sehingga pelaku dapat menjalankan kode berbahaya secara jarak jauh. Selain itu, dua kerentanan SSRF juga memungkinkan pencurian data internal. Kerentanan ini sudah diperbaiki sejak September 2025.
Hijack Loader dan Malware C2 SnappyClient yang Tersembunyi
Loader malware bernama Hijack Loader kini digunakan untuk menyebarkan kerangka malware C2 baru bernama SnappyClient yang berbasis C++. Malware ini memiliki kemampuan canggih seperti pengambilan screenshot, keylogging, terminal jarak jauh, dan pencurian data dari browser serta aplikasi lain.
Menurut Zscaler ThreatLabz, SnappyClient menggunakan berbagai teknik evasi seperti bypass Antimalware Scan Interface (AMSI), Heaven’s Gate, panggilan sistem langsung, dan transacted hollowing. Malware ini menerima konfigurasi dari server C2 untuk menentukan aksi dan target pencurian data. SnappyClient pertama kali ditemukan pada Desember 2025 dan diduga terkait erat dengan pengembang Hijack Loader. Serangan ini biasanya dimulai dengan pengunjung yang membuka website palsu yang menyamar sebagai perusahaan telekomunikasi Spanyol, Telefónica. Tujuan utama serangan diyakini adalah pencurian cryptocurrency.
Abuse Deep Link CursorJack untuk Eksekusi Perintah
Proofpoint mengungkap teknik baru bernama CursorJack yang memanfaatkan dukungan protokol Model Context Protocol (MCP) pada aplikasi Cursor untuk melakukan eksekusi perintah lokal atau memasang server MCP jarak jauh berbahaya.
Serangan memanfaatkan konfigurasi "mcp.json" di mana sebuah perintah dapat dijalankan. Melalui rekayasa sosial dan rangkaian klik yang mengizinkan instalasi, penyerang bisa menjalankan perintah arbitrer atau memasang server MCP berbahaya. Proofpoint juga merilis bukti konsep eksploitasi ini di GitHub.
Gelombang Eksploitasi Masif Kerentanan Citrix
Aktivitas eksploitasi terhadap kerentanan lama di Citrix NetScaler, yaitu CVE-2025-5777 dan CVE-2023-4966, meningkat pesat. Defused Cyber melaporkan lebih dari 500 upaya eksploitasi tercatat pada honeypot mereka pada 16 Maret 2026. Mereka memperingatkan bahwa lonjakan eksploitasi kerentanan lama sering kali mengindikasikan potensi munculnya kerentanan zero-day.
Phishing Melalui Microsoft Teams Mengancam Akses Remote
Rapid7 mengamati peningkatan kampanye phishing yang memanfaatkan Microsoft Teams untuk menyamar sebagai staf IT internal. Tujuannya adalah meyakinkan korban menjalankan aplikasi Quick Assist sehingga penyerang mendapat akses remote dan dapat menyebarkan malware, mencuri data, atau bergerak lateral dalam jaringan.
Phishing via Teams menunjukkan celah serius dalam pengelolaan akses eksternal karena Teams dapat membolehkan pesan dari pengguna eksternal tanpa filter yang memadai, mirip dengan mengoperasikan server email tanpa penyaringan spam.
ClickFix Sebarkan Backdoor Berbasis AutoHotKey
Kampanye ClickFix terbaru berhasil membobol situs pemerintah Pakistan "wasafaisalabad.gop[.]pk" untuk menyebarkan umpan CAPTCHA palsu. Rantai serangan menggunakan perintah clipboard tersembunyi yang menginstal file MSI dan menanam backdoor berbasis AutoHotKey yang secara periodik menghubungi server pengendali.
Serangan ini menggunakan rekayasa sosial sangat efektif dan telah diadopsi oleh kelompok negara-negara seperti Lazarus (Korea Utara), MuddyWater (Iran), dan APT28 (Rusia). Sejak 2024, lebih dari 3.800 situs WordPress telah terinfeksi varian ClickFix yang berbeda seperti IClickFix.
Stealer ACRStealer Terbaru Menyebar Lewat Game Bajakan
Hijack Loader juga mengantarkan varian baru dari pencuri data ACRStealer dengan teknik evasi yang lebih canggih. Menurut G DATA, integrasi ini menjadikan ACRStealer semakin modular dan menarik bagi pelaku kejahatan siber.
Distribusi malware ini banyak dilakukan dari domain PiviGames, portal game bajakan asal Spanyol. Kampanye malware melalui PiviGames ini merupakan bagian dari tren penyebaran malware lewat situs game ilegal.
Phishing LiveChat Curigai Data Sensitif
Kampanye phishing terbaru menggunakan platform LiveChat, layanan pesan langsung untuk layanan pelanggan, guna mencuri data korban. Email phishing mengangkat tema pengembalian dana dan mengarahkan korban ke tautan di layanan LiveChat.
Korban diminta mengklik tautan dalam chat untuk menyelesaikan proses pengembalian dana dengan memasukkan data pribadi dan keuangan. Cofense menyebut teknik ini lebih canggih dari phishing biasa karena memanfaatkan interaksi waktu nyata dan penyamaran merek terkenal untuk mengumpulkan kredensial, detail kartu kredit, kode MFA, dan informasi pribadi lain.
RagaSerpent Perluas Spionase ke Asia Tenggara
Kelompok APT bernama RagaSerpent, terkait dengan SideWinder, menggunakan email spear-phishing bertema audit pajak dan kepatuhan pemerintah untuk menyerang organisasi di Asia Tenggara, termasuk Indonesia dan Thailand.
Kampanye ini menggunakan alat legal SyncFuture TSM yang dikembangkan perusahaan Tiongkok sebagai tahap multi-muatan untuk mengendalikan jaringan korban. Pola serangan ini mirip dengan kampanye sebelumnya yang menargetkan India, serta operasi SideWinder yang lebih luas di Afrika, Eropa, dan Timur Tengah.
DJI Perbaiki Celah Akses Perangkat Romo Smart Vacuum
DJI menambal kerentanan backend yang memungkinkan pengambilalihan kendali semua perangkat robot vacuum Romo. Peneliti keamanan Sammy Azdoufal menemukan server DJI mengembalikan data perangkat hanya dengan nomor seri tanpa autentikasi, sehingga memungkinkan pemetaan lokasi lebih dari 7.000 perangkat Romo dan 3.000 power station DJI.
WhatsApp Uji Fitur Password Alfanumerik untuk Amankan Akun
WhatsApp mulai menguji fitur password akun alfanumerik antara 6-20 karakter, dengan minimal satu huruf dan satu angka. Fitur ini bertujuan memperkuat keamanan akun dari serangan brute force, termasuk ketika SIM swap berhasil melewati autentikasi dua faktor.
Kelompok Ransomware 0APT Diduga Palsu
Intel 471 mengungkap bahwa kelompok ransomware 0APT kemungkinan besar adalah penipuan. Tidak ada bukti kredibel serangan ransomware atau pencurian data, dan contoh data yang mereka klaim dicuri justru tampak dibuat-buat dengan pola berulang tanpa isi berguna.
Google Blokir 1,75 Juta Aplikasi Android Berbahaya di 2025
Google menolak 1,75 juta aplikasi Android yang melanggar kebijakan dan memblokir lebih dari 80.000 akun pengembang sepanjang 2025, turun dari 2,36 juta aplikasi dan 158.000 akun pada 2024. Google juga mengintegrasikan AI generatif terbaru untuk memperkuat proses peninjauan aplikasi.
Play Protect, solusi keamanan bawaan Android, kini memindai lebih dari 350 miliar aplikasi setiap hari dan telah mengidentifikasi lebih dari 27 juta aplikasi berbahaya dari luar Play Store. Perlindungan penipuan juga diperluas ke lebih dari 2,8 miliar perangkat di 185 pasar.
Hanya 1% Kerentanan yang Dieksploitasi Secara Massif
Menurut VulnCheck, hanya sekitar 1% dari CVE yang ditemukan sepanjang 2025 dieksploitasi di dunia nyata. Sebagian besar menargetkan perangkat di pinggiran jaringan. IBM X-Force melaporkan peningkatan 44% serangan terhadap aplikasi publik.
Parlemen Eropa Perpanjang Aturan Deteksi CSAM Hingga 2027
Parlemen Eropa menyetujui perpanjangan aturan sementara yang memungkinkan platform online secara sukarela mendeteksi materi pelecehan seksual anak (CSAM) hingga Agustus 2027, guna menyiapkan kerangka hukum jangka panjang.
Malware AOT dengan Teknik Evasi Canggih
Serangkaian serangan baru menggunakan URL phishing menyebarkan trojan downloader berbasis C++ yang memuat Rhadamanthys stealer dan penambang XMRig. Teknik evasi inti menggunakan .NET Native Ahead-of-Time (AOT) yang menghilangkan metadata .NET tradisional sehingga menyulitkan analisis keamanan.
Analisis Redaksi
Menurut pandangan redaksi, rangkaian ancaman siber minggu ini menunjukkan tren mengkhawatirkan: meskipun tidak ada serangan besar yang menggemparkan, para pelaku kejahatan siber semakin mengandalkan eksploitasi kerentanan lama dan teknik evasi yang terus disempurnakan. Hal ini menandakan bahwa banyak sistem yang seharusnya sudah terlindungi ternyata masih rentan, terutama pada perangkat jaringan penting seperti FortiGate dan Citrix.
Phishing yang memanfaatkan platform produktivitas populer seperti Microsoft Teams dan LiveChat juga menggarisbawahi kelemahan dalam pengelolaan akses eksternal dan interaksi pengguna. Organisasi harus segera memperketat aturan komunikasi dan edukasi keamanan bagi karyawan untuk mengurangi risiko ini.
Selain itu, munculnya malware modular dan multi-fungsi seperti SnappyClient dan ACRStealer yang disebarkan lewat loader seperti Hijack Loader mengindikasikan peningkatan profesionalisme dan kompleksitas serangan. Ini mengharuskan para profesional keamanan memperkuat deteksi berbasis perilaku dan memperbarui sistem secara berkala.
Ke depan, penting bagi organisasi untuk memantau kerentanan yang telah lama ada dan mengimplementasikan patch secepat mungkin, serta meningkatkan kesadaran karyawan terhadap teknik rekayasa sosial yang semakin canggih. Mengamati pola serangan seperti yang ditunjukkan oleh kelompok RagaSerpent juga membantu memahami motif geopolitik di balik serangan siber.
Terus ikuti perkembangan ancaman siber terbaru agar bisa segera mengambil langkah mitigasi yang tepat dan melindungi aset digital Anda.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
