Seorang eksekutif senior di bursa efek global menjadi sasaran peretasan selama lima bulan. Pelaku tidak hanya mengakses kotak masuk Outlook, tetapi juga secara sistematis menyalin isi email dalam potongan kecil secara berkala agar tidak terdeteksi.
Baca Juga: Xiaomi Jinshajiang 10000mAh Magnetic Power Bank Diskon, Harga Cuma 288 Yuan
Dilansir dari The Hacker News, tim Symantec dan Carbon Black’s Threat Hunter Team melaporkan bahwa serangan ini jelas merupakan aksi spionase, bukan pencurian uang. Perintah yang dieksekusi menunjukkan pengumpulan intelijen, bukan motif finansial.
Identitas bursa efek maupun eksekutif yang menjadi korban tidak diungkapkan. Namun, nilai dari akses semacam ini cukup jelas: kotak masuk eksekutif bursa efek bisa berisi detail listing non-publik, masalah penegakan aturan, ketentuan kesepakatan, rencana yang mempengaruhi pasar, serta kalender dan kontak pribadi.
Baca Juga: DoJ Gempur Jaringan Penipuan Kripto Asia Tenggara, Bekukan Aset Rp60 Miliar
Lima bulan akses tanpa gangguan memberikan peluang bagi peretas untuk mempelajari secara detail aktivitas eksekutif tersebut dan arah organisasi ke depan, tanpa perlu mengakses sistem bisnis lain secara luas.
Aktivitas jahat pertama terdeteksi pada 10 Oktober 2025. Saat itu, peretas sudah menjalankan dua biner dengan hak istimewa SYSTEM—level tertinggi di Windows.
Salah satu biner menyamar sebagai pembaruan Adobe, satunya lagi meniru OneDrive. Ketika tim keamanan menyadari ada yang salah, peretas sudah menguasai penuh perangkat korban.
Cara awal mereka masuk masih belum diketahui.
Symantec mengonfirmasi bahwa indikasi awal menunjukkan pergerakan lateral dari perangkat lain yang sudah dikompromikan sebelumnya. Operasi utama dimulai pada 12 November 2025.
Peretas mengambil token API Dropbox, mulai mengunggah data menggunakan curl, dan menjalankan alat utama: pencuri kotak surat yang dibangun di atas Aspose, pustaka. NET legal yang bisa membaca file OST dan PST Outlook.
Alat tersebut dibungkus dalam sebuah executable yang mengubah kotak surat menjadi file PST dan menyimpannya ke disk. Setiap kali dijalankan, alat itu meminta kata sandi dan rentang tanggal.
Eksekusi pertama mengambil semua email sejak Agustus 2025. Setelah itu, peretas kembali setiap dua hingga empat minggu, hanya mengambil email baru sejak eksekusi terakhir.
Total delapan kali pengambilan hingga 17 Februari 2026. Hasilnya adalah salinan hampir kontinu dari kotak masuk, diiris tipis agar tidak menarik perhatian perangkat keamanan.
Stealth alias kemampuan siluman menjadi kunci. Peretas menjadwalkan tugas yang menyamar sebagai layanan sistem Adobe, Lenovo, dan OneDrive.
Untuk eksfiltrasi, mereka menggunakan Dropbox dan OneDrive Personal. Khusus OneDrive, mereka terhubung ke alamat IP Microsoft yang sudah di-hardcode, bukan ke hostname onedrive.
live.com, sehingga tidak ada permintaan DNS yang bisa ditangkap atau diblokir oleh alat perimeter.
Peretas juga sempat menguji layanan temp. sh pada November, lalu meninggalkannya.
Aktivitas terakhir yang terpantau pada 19 Maret 2026 adalah backdoor baru yang sudah disiapkan tetapi tidak pernah dijalankan. Tim Symantec menduga peretas kehilangan akses tidak lama setelahnya.
Indikator yang dipublikasikan Symantec menunjukkan perangkat serangan yang lebih lengkap, tidak sekadar pencuri kotak surat: FRPC untuk tunneling lalu lintas, Secretsdump untuk mengambil kredensial Windows, SharpDecryptPwd untuk memulihkan kata sandi aplikasi yang tersimpan, dan alat untuk melewati User Account Control Windows. Laporan tersebut tidak merinci bagaimana setiap alat digunakan, dan tidak ada yang mengarah ke kelompok peretas tertentu.
Tidak ada celah keamanan (CVE) dalam cerita ini. Ini adalah intrusi terhadap kotak surat seseorang, bukan eksploitasi kerentanan yang baru diumumkan.
Itu sebabnya kasus ini penting: tidak ada tambalan yang bisa menutup celah ini, dan beban beralih ke pemantauan serta respons.
Atribusi juga belum jelas. Campuran alat publik dan layanan cloud konsumen hanya menyisakan sedikit petunjuk untuk mengaitkan aktivitas ini dengan aktor yang dikenal.
Rute eksfiltrasi melalui Dropbox dan OneDrive adalah taktik yang sudah lazim. Microsoft sebelumnya sudah memperingatkan bahwa metode ini sengaja digunakan untuk lolos dari pertahanan perimeter dan mengaburkan jejak.
Baca Juga: Xiaomi Luncurkan TV Mini LED FX dengan Ukuran Hingga 75 Inci
Jika Anda bertanggung jawab atas keamanan bursa efek, regulator, atau perusahaan mana pun yang memiliki informasi sensitif pasar, segera masukkan hash yang dipublikasikan dan waspadai perilaku mencurigakan: aktivitas ekspor kotak surat tidak biasa, akses Outlook aneh, unggahan ke akun Dropbox atau OneDrive pribadi, tunneling tak terduga, dan pembuangan kredensial pada sistem yang terkait dengan pengguna istimewa.
Leave a Comment