Lanskap keamanan siber global kembali bergetar. Firma intelijen ancaman GreyNoise mendeteksi gelombang serangan siber yang sangat agresif menargetkan portal VPN Palo Alto Networks GlobalProtect. Sejak 14 November 2025, tercatat lebih dari 2,3 juta sesi berbahaya telah dilancarkan terhadap infrastruktur akses jarak jauh ini.

Tingkat aktivitas ini bukan sekadar kenaikan rutin. GreyNoise mencatat lonjakan intensitas hingga 40 kali lipat hanya dalam kurun waktu 24 jam, menjadikannya level aktivitas tertinggi dalam 90 hari terakhir. Serangan ini secara spesifik menargetkan URI /global-protect/login.esp, sebuah pintu gerbang otentikasi yang digunakan oleh jutaan karyawan di seluruh dunia untuk masuk ke jaringan korporat secara aman.

Baca Juga: Jepang Rilis Doktrin Pertahanan Siber Baru: PM Sanae Takaichi Bidik Ancaman Hibrida dan Intervensi Asing

Serangan ini tidak dilakukan secara acak, melainkan menunjukkan tanda-tanda operasi yang sangat terkoordinasi, canggih, dan mungkin didukung oleh aktor negara (state-sponsored) atau sindikat kejahatan siber besar.

• Modus Operandi: Penyerang menggunakan metode brute-force (menebak kata sandi secara paksa) untuk membobol akun pengguna.
• Sidik Jari Digital (Fingerprinting): Peneliti menemukan konsistensi pada sidik jari TCP dan JA4t di seluruh insiden. Dua indikator utama JA4t yang teridentifikasi adalah 65495_2-4-8-1-3_65495_7 dan 33280_2-4-8-1-3_65495_7.
• Infrastruktur Tulang Punggung: Serangan ini sangat terkonsentrasi. Sebanyak 62% lalu lintas berbahaya berasal dari satu Autonomous System Number (ASN) yaitu AS200373 (3xK Tech GmbH) yang berbasis di Jerman. Menariknya, 15% tambahan lalu lintas juga berasal dari ASN yang sama namun dirutekan melalui kluster di Kanada, sebuah teknik untuk menghindari deteksi geografis (geofencing). Kontribusi sekunder datang dari AS208885 (Noyobzoda Faridduni Saidilhom).

Distribusi serangan tampak terfokus pada tiga negara utama dengan volume yang hampir setara: Amerika Serikat, Meksiko, dan Pakistan. Pola ini mengindikasikan bahwa penyerang mungkin memprioritaskan wilayah bernilai tinggi atau sedang memanfaatkan daftar kredensial curian (combolist) yang spesifik untuk wilayah tersebut.

Peringatan Dini (The Canary in the Coal Mine): Salah satu temuan paling mengkhawatirkan dari GreyNoise adalah korelasi historis. Lonjakan serangan brute-force pada VPN sering kali merupakan pendahulu dari pengungkapan kerentanan kritis (vulnerability disclosure).

• Pada Juli 2025, lonjakan serupa pada VPN Fortinet terjadi tepat enam minggu sebelum celah keamanan baru diumumkan.
• Pola serupa pada Palo Alto juga terdeteksi pada April dan Oktober 2025. Artinya, gelombang serangan 2,3 juta sesi ini bisa jadi merupakan upaya penyerang untuk mengeksploitasi celah Zero-Day yang belum diketahui publik atau vendor.

Mengingat skala serangan ini, organisasi yang menggunakan Palo Alto GlobalProtect didesak untuk segera melakukan:

1. Audit Log: Periksa log akses untuk indikator JA4t dan IP dari ASN yang disebutkan di atas.
2. MFA Wajib: Pastikan Multi-Factor Authentication (MFA) diaktifkan dan tidak bisa di-bypass. Serangan brute-force hampir mustahil menembus MFA yang kuat.
3. Geo-Blocking: Jika organisasi tidak memiliki karyawan di Jerman atau negara sumber serangan lainnya, pertimbangkan untuk memblokir lalu lintas dari ASN terkait sementara waktu.