Ancaman Spearphising dari Dalam

Ancaman Spearphising dari Dalam – Dunia keamanan siber pada tahun 2025-2026 sedang menghadapi paradigma baru yang sangat mengkhawatirkan.

Laporan Aktivitas APT ESET terbaru mengungkapkan bahwa batas-batas pertahanan tradisional kini tidak lagi cukup untuk membendung serangan yang bersifat sangat personal.

Salah satu ancaman paling menonjol adalah Internal Spearphishing, sebuah teknik infiltrasi yang telah disempurnakan oleh grup peretas MuddyWater (juga dikenal sebagai Mango Sandstorm atau TA450) yang berafiliasi dengan Iran.

Serangan ini tidak lagi sekadar mencoba mendobrak pintu luar organisasi, melainkan meminjam “wajah” orang dalam untuk melancarkan serangan dari jantung jaringan itu sendiri.

Anatomi Serangan

Internal spearphishing merupakan evolusi dari phishing tradisional. Jika pada serangan konvensional peretas menggunakan domain email palsu yang mirip, dalam internal spearphishing, mereka menggunakan akun email yang benar-benar sah milik karyawan.

Proses ini dimulai ketika penyerang berhasil mengompromi satu akun melalui pencurian perangkat fisik, serangan brute-force, atau credential stuffing.

Setelah memegang kendali atas kotak masuk (inbox) tersebut, peretas tidak langsung mencuri data, melainkan menggunakannya sebagai batu loncatan untuk menyerang rekan kerja di organisasi yang sama.

Keunggulan taktis dari metode ini terletak pada psikologi manusia. Di lingkungan kerja, ada tingkat kepercayaan implisit antar rekan sejawat.

Seorang karyawan mungkin akan sangat berhati-hati terhadap email dari luar, namun kewaspadaan tersebut sering kali runtuh ketika menerima lampiran PDF atau tautan dari rekan satu tim di departemen yang sama.

Peretas memanfaatkan celah psikologis ini untuk mengirimkan dokumen yang terlihat rutin, seperti “Surat Panggilan Pengadilan” atau “Update Kebijakan Kantor”, yang sebenarnya mengandung payload berbahaya.

Baca juga: Manipulasi Psikologis Siber

Ekspansi ke Platform Kolaborasi Modern

Salah satu temuan paling menarik dari riset tahun 2025 ini adalah pergeseran vektor serangan dari sekadar email ke platform kolaborasi seperti Microsoft Teams, Slack, dan Discord.

Peretas menyadari bahwa banyak organisasi memiliki pengamanan email yang ketat, namun sering kali longgar dalam memantau pesan instan internal.

Sebagai contoh, anggota Red Team di industri keamanan menemukan celah di mana mereka bisa mengirimkan malware melalui MS Teams dengan memanipulasi ID penerima dalam permintaan POST.

Taktik ini menipu sistem sehingga menganggap pengguna eksternal sebagai akun internal. Dengan fitur seperti “Chat with Anyone” di Teams, peretas dapat dengan mudah melakukan:

• Menyusup ke percakapan.
• Membagikan dokumen berbahaya.
• Melakukan infeksi secara lateral dengan kecepatan yang jauh lebih tinggi daripada melalui email tradisional.

Strategi “MuddyWater” dan Teknik Living off the Land

Grup MuddyWater menunjukkan tingkat kecanggihan yang meningkat dalam menyembunyikan jejak mereka. Mereka menerapkan strategi “Living off the Land”, yaitu menggunakan alat-alat IT resmi dan sah untuk tujuan jahat.

Mereka memanfaatkan perangkat lunak Remote Monitoring and Management (RMM) seperti SimpleHelp, Atera, dan PDQ yang biasanya digunakan oleh tim Managed Service Provider (MSP) untuk mengelola jaringan.

Karena alat ini sering kali sudah ada di daftar putih (whitelist) sistem keamanan perusahaan, aktivitas mereka tidak akan memicu alarm pada alat EDR (Endpoint Detection and Response) tradisional. Selain itu, MuddyWater juga mulai menggunakan teknik-teknik tingkat tinggi seperti:

• Steganografi: Menyembunyikan kode berbahaya di dalam piksel gambar yang tampak normal. Jika dilihat sekilas, gambar tersebut tidak mencurigakan, namun secara teknis mengandung kode yang bisa dieksekusi oleh malware.
• Fileless Malware: Menggunakan backdoor baru bernama MuddyViper yang dimuat langsung ke dalam memori komputer melalui pemuat (loader) bernama Fooder. Karena tidak ada file yang disimpan di hard disk, antivirus berbasis tanda tangan tidak akan bisa mendeteksinya.
• Logika Anti-Analisis: Pengembang MuddyWater menyisipkan fungsi penunda eksekusi yang sangat unik, yaitu menyisipkan logika game klasik “Snake” dan panggilan API “Sleep” untuk mengelabui sistem analisis otomatis (sandbox) agar menganggap file tersebut tidak berbahaya.

Baca juga: Melawan Ancaman AI di Dunia Digital

Dampak dan Konsekuensi Organisasional

Konsekuensi dari keberhasilan serangan internal spearphishing sangatlah destruktif. Selain kerugian finansial akibat potensi serangan ransomware, dampak jangka panjang yang paling terasa adalah runtuhnya kepercayaan internal.

Aliran informasi di dalam perusahaan menjadi terhambat karena setiap komunikasi antar rekan kerja mulai dicurigai sebagai potensi serangan.

Dari sisi teknis, sekali peretas mendapatkan akses internal, mereka dapat melakukan:

• Spionase siber secara senyap.
• Memantau korespondensi tingkat tinggi.
• Hingga mengeksfiltrasi data intelektual yang sangat rahasia.

Target utama mereka di tahun 2025 mencakup sektor infrastruktur kritis seperti minyak dan gas, pertahanan, serta telekomunikasi, yang menunjukkan bahwa motivasi mereka sangat dipengaruhi oleh kepentingan geopolitik.

Langkah-Langkah Mitigasi Berlapis

Menghadapi musuh yang sudah berada di dalam memerlukan pendekatan keamanan yang tidak lagi statis, perusahaan harus menggunakan model Zero Trust.

Dimana tidak ada pengguna, baik internal maupun eksternal yang dipercaya secara otomatis. Berikut adalah strategi pertahanan yang direkomendasikan:

1. Penguatan Autentikasi Berkelanjutan: Autentikasi tidak boleh hanya dilakukan di awal sesi. Implementasi autentikasi multifaktor (MFA) yang ketat untuk setiap akses ke layanan email dan platform kolaborasi sangatlah wajib. Selain itu, kontrol berbasis lokasi harus diterapkan untuk mendeteksi akses akun dari wilayah geografis yang tidak wajar.
2. Keamanan Lapisan Aplikasi Cloud: Menggunakan solusi keamanan seperti ESET Cloud Office Security yang mampu memindai konten berbahaya bahkan pada email yang dipertukarkan antar rekan kerja secara internal. Fitur ini juga harus mencakup pemindaian file yang dibagikan di platform Teams atau Slack.
3. Honeypots dan Deteksi Perilaku: Karena peretas menggunakan alat sah, tim SOC (Security Operations Center) harus dilatih untuk mengenali anomali perilaku, bukan hanya tanda tangan malware. Penempatan akun palsu (honeytokens) dapat digunakan untuk mendeteksi jika ada akun internal yang mencoba mengakses data yang tidak seharusnya.
4. Budaya Kesadaran Siber (Cyber Awareness): Karyawan adalah garis pertahanan terakhir. Program pelatihan harus mencakup simulasi phishing yang mensimulasikan pesan dari rekan kerja. Karyawan harus diajarkan untuk melakukan verifikasi “luar jalur” (out-of-band), seperti menelpon langsung rekan yang mengirimkan permintaan aneh, sebelum mengeklik tautan apa pun.

Ancaman yang dibawa oleh grup seperti MuddyWater melalui internal spearphishing membuktikan bahwa lanskap ancaman siber tahun 2026 kian kompleks. Ketika ancaman memakai wajah rekan kerja yang familier, deteksi menjadi jauh lebih sulit.

Keberhasilan dalam menangkal serangan ini sangat bergantung pada kombinasi antara teknologi keamanan berbasis AI yang mampu mendeteksi perilaku fileless, serta ketajaman intuisi manusia dalam mengenali ketidakwajaran dalam komunikasi profesional harian.

Organisasi yang gagal beradaptasi dengan model pertahanan berlapis ini akan terus menjadi target empuk bagi buaya yang bersembunyi di dalam “air keruh” jaringan mereka.

 

 

Baca artikel lainnya: Spyware Berkedok Aplikasi Kencan Credential Stuffing Kunci Duplikat Digital Anda Waspada!! LinkedIn Jadi Incaran Spionase Digital 6 Modus Penipuan Apple Pay Brushing Scam Bukan Rezeki Nomplok Keamanan Siber untuk Influencer Waspada Intelijen Media Sosial Data Pribadi Bocor di Dark Web? Ini Solusinya Risiko AI Chatbot Bagi Anak Bahaya! Gambar JPG Bisa Retas PC

 

 

Sumber berita:

 

Prosperita IT New