Sindikat PhaaS Kali365 Incar Korporat via Telegram

Sindikat PhaaS Kali365 Incar Korporat via Telegram – Biro Investigasi Federal Amerika Serikat (FBI) secara resmi merilis peringatan publik mendesak terkait kemunculan platform Phishing-as-a-Service (PhaaS) baru bernama Kali365.

Platform berbahaya ini dirancang khusus untuk membajak akun Microsoft 365 korporat dengan cara menyalahgunakan fitur otentikasi kode perangkat (OAuth device code authentication).

Taktik ini memungkinkan para penjahat siber mencuri token sesi (session tokens) aktif dan memotong sistem otentikasi multifaktor (MFA) secara mutlak tanpa perlu mencuri kata sandi pengguna.

Berdasarkan pengumuman resmi dari FBI, Kali365 pertama kali terdeteksi muncul ke permukaan pada April 2026.

Perangkat peretasan komersial ini didistribusikan secara masif melalui saluran-saluran gelap di aplikasi Telegram, menargetkan para pelaku kriminal digital kelas semenjana.

Yang mencari cara instan untuk menembus ekosistem Microsoft 365 tanpa perlu bersusah payah merancang skrip pemungut OTP atau melakukan intersepsi kode MFA konvensional yang kian ketat.

Fitur Legal OAuth 2.0 untuk Peretasan

Metode utama yang digerakkan oleh Kali365 adalah device code phishing, sebuah tren serangan siber yang kian naik daun di sepanjang tahun 2026.

Taktik ini secara cerdik menyalahgunakan alur kerja legal Device Authorization Grant pada protokol OAuth 2.0 milik Microsoft.

Fitur otentikasi ini awalnya diciptakan oleh penyedia teknologi untuk mempermudah perangkat-perangkat yang memiliki keterbatasan papan ketik input data seperti:

• Smart TV.
• Sistem komputer ruang konferensi.
• Perangkat pemutar media (streaming).
• Pencetak (printers).
• Hingga perangkat IoT agar tetap dapat masuk ke akun Microsoft mereka.

Prosesnya dijalankan dengan cara memasukkan kode pendek acak melalui bantuan perangkat sekunder (seperti ponsel atau laptop) pada portal masuk resmi Microsoft di alamat [http://microsoft.com/devicelogin](http://microsoft.com/devicelogin).

Baca juga: Worm Canggih Curi Data Bank dari WhatsApp

Alur Serangan Device Code Phishing

• Peretas Memicu Kode Otentikasi Resmi dari Mesin Mereka
• Korban Menerima Email Phishing -> Diarahkan ke Situs Resmi
• Korban Memasukkan Kode Pendek Milik Peretas ke Portal Resmi
• Korban Menyelesaikan Tantangan MFA Akun Mereka Sendiri
• Microsoft Mengeluarkan Token Akses OAuth Sah untuk Peretas
• Peretas Masuk Penuh ke Akun Tanpa Perlu Password/MFA Ulang

Di dalam skenario serangan Kali365, alur kerja di atas dibalik secara manipulatif oleh penjahat siber melalui langkah berikut:

• Pemicuan Kode: Aktor ancaman memulai proses otorisasi perangkat dari mesin mereka sendiri untuk menghasilkan kode pendek resmi dari Microsoft.
• Rekayasa Sosial: Peretas mengirimkan email phishing yang mendesak korban untuk membuka portal login resmi Microsoft dan meminta mereka memasukkan kode pendek yang telah disiapkan oleh peretas tersebut.
• Otorisasi Tidak Disengaja: Karena halaman tempat memasukkan kode tersebut adalah situs web asli milik Microsoft, korban tidak akan curiga. Korban memasukkan kode dan menyelesaikan tantangan MFA pada akun mereka sendiri.
• Penerbitan Token: Begitu korban menyelesaikan MFA, server Microsoft secara otomatis menganggap bahwa perangkat milik peretas adalah perangkat sah yang telah disetujui pengguna. Microsoft kemudian mengeluarkan token akses OAuth langsung ke mesin peretas.

Dengan menguasai token akses ini, penjahat siber secara instan mendapatkan hak akses penuh ke seluruh aplikasi yang terhubung dalam sistem masuk tunggal (Single Sign-On/SSO) korban.

Termasuk Microsoft 365, Microsoft Entra, Salesforce, hingga platform SaaS awan lainnya untuk menjarah data sensitif perusahaan tanpa pernah memicu alarm kecurigaan.

Manajemen Profesional di Balik PhaaS Kali365

Berdasarkan investigasi komprehensif dari para peneliti keamanan siber pada April 2026, operasi serangan berbasis Kali365 telah dilaporkan menghantam berbagai organisasi di skala global.

Ketika berhasil masuk ke kotak surat (mailbox) korban, peretas langsung membuat aturan filter kotak masuk baru (malicious inbox rules).

Yang kemudian dikonfigurasi untuk menyembunyikan email pemberitahuan keamanan agar aktivitas pembajakan ini tidak disadari oleh pemilik akun.

Dalam beberapa kasus, peretas juga mendaftarkan perangkat asing baru ke dalam lingkungan Microsoft Entra perusahaan, memperpanjang masa durasi infeksi mereka di dalam jaringan internal.

Para peneliti menemukan bahwa Kali365 dikelola dengan struktur organisasi yang menyerupai perusahaan komersial modern.

Jaringan mereka terbagi menjadi administrator utama yang mengelola pengembangan produk, jaringan pemasar (resellers) yang mempromosikan alat di forum bawah tanah, serta afiliasi yang bertindak sebagai eksekutor serangan phishing.

Platform ini menyediakan dua mode serangan terpisah yang sangat mematikan:

• Mode Device Code Phishing: Skema manipulasi kode otorisasi perangkat seperti yang dijelaskan di atas.
• Mode Cookie Link (Adversary-in-the-Middle / AitM): Mode yang memproksi lalu lintas data korban melewati infrastruktur server yang dikendalikan peretas. Skrip ini secara otomatis memanen sesi penjelajah (browser sessions), cookie aktif, dan token otentikasi sesaat setelah korban melakukan login dan menyelesaikan tantangan MFA.

FBI memperingatkan bahwa platform Kali365 telah menurunkan hambatan teknis secara drastis, memungkinkan pelaku kejahatan siber amatir sekalipun untuk meluncurkan kampanye peretasan canggih.

Karena platform sudah dilengkapi dengan templat kampanye otomatis, dasbor pelacak korban waktu-nyata, hingga umpan phishing yang diproduksi menggunakan kecerdasan buatan (AI).

Baca juga: Kerentanan Tunggal Menjadi Operasi Multi Vektor

Ekspansi Taktik AitM dan Pembiaran Token

Sebagai bahan analisis komprehensif, para peneliti siber mencatat bahwa popularitas teknik device code phishing di tahun 2026 dipicu oleh semakin ketatnya proteksi MFA berbasis geolokasi dan nomor pencocokan yang diterapkan oleh penyedia teknologi.

Karena taktik penipuan tradisional berbasis halaman kloningan sudah mulai kehilangan efektivitasnya, penjahat siber beralih ke taktik manipulasi token seperti yang digunakan oleh Kali365, EvilTokens, dan Tycoon2FA.

Serangan jenis ini sangat berbahaya bagi ketahanan siber korporat karena mereka mengeksploitasi fitur fungsional yang sah.

Selama kebijakan pemindahan otentikasi antar-perangkat (authentication transfer) masih diizinkan di dalam arsitektur TI perusahaan.

Maka peretas akan selalu memiliki celah untuk menyelundupkan perangkat ilegal mereka ke dalam jaringan kerja tanpa terdeteksi oleh sistem pertahanan perimeter konvensional.

Rekomendasi Mitigasi Teknis

Guna melindungi ekosistem cloud organisasi Anda dari ancaman eksploitasi kode perangkat Kali365, berikut adalah rekomendasi tindakan teknis darurat yang disarankan oleh FBI dan para peneliti siber:

1. Batasi atau Blokir Autentikasi Device Code: Melalui Kebijakan Akses Bersyarat (Conditional Access Policies) di Microsoft Entra, batasi atau nonaktifkan secara total alur kerja otentikasi kode perangkat jika karyawan Anda tidak menggunakan perangkat dengan input terbatas seperti Smart TV atau printer di lingkungan kerja mereka.
2. Blokir Kebijakan Transfer Otentikasi: Terapkan aturan ketat yang melarang sesi otentikasi berpindah di antara dua perangkat yang berada di bawah jaringan atau lokasi geografis yang berbeda.
3. Lakukan Audit Perangkat Terdaftar: Lakukan peninjauan berkala terhadap log aktivitas otentikasi kode perangkat yang ada dan periksa daftar perangkat baru yang terdaftar di dalam sistem guna memastikan tidak ada perangkat ilegal yang diselundupkan oleh peretas.
4. Terapkan Protokol Pelaporan Insiden: Jika organisasi Anda terindikasi terkena kompromi, segera amankan bukti berupa email phising, log masuk yang mencurigakan, riwayat registrasi perangkat asing, serta laporkan insiden tersebut ke pusat pengaduan kejahatan siber resmi setempat (Internet Crime Complaint Center / IC3).

Komersialisasi Kali365

Komersialisasi platform Kali365 membuktikan bahwa arah ancaman siber di tahun 2026 tidak lagi berfokus pada kekuatan membongkar enkripsi, melainkan pada keahlian memanipulasi alur kerja otentikasi legal yang disediakan oleh sistem.

Device code phishing mengubah fitur kemudahan pengguna menjadi senjata pemungut akses yang mematikan. Mengandalkan MFA standar tanpa dibarengi dengan pengetatan kebijakan akses bersyarat adalah celah fatal bagi keamanan korporat.

Dengan menutup jalur transfer otentikasi antar-perangkat dan menerapkan sistem proteksi proaktif yang andal, organisasi dapat memastikan bahwa seluruh aset data kritis di dalam ekosistem awan mereka tidak berubah menjadi komoditas jarahan para peretas.

 

 

 

Baca artikel lainnya:  Ancaman Ganda Oracle Peretas Curi Data Lewat Celah Kritis Ancaman Terkuat 2025 AI Generating Phising Risiko Akhir Windows 10 Spyware Android Baru Menyamar Jadi WhatsApp dan TikTok Taktik Canggih Peretas Mencuri Data Rahasia Lewat Asisten Coding AI Keamanan Siber Bukan Sekadar Biaya Penipuan PayPal Terkini Peretas Kini Serang Lewat Obrolan dan Kode QR Pentingnya Layanan IT Terkelola dan Peran AI CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

 

 

Sumber berita:

 

Prosperita IT News