Sepanjang tahun 2025, sebuah organisasi mata uang kripto (cryptocurrency) mengalami kerugian jutaan dolar dalam salah satu perampokan digital paling canggih di era komputasi awan. Berdasarkan laporan H1 2026 Cloud Threat Horizons dari Google Cloud, serangan ini diatribusikan dengan tingkat keyakinan menengah kepada UNC4899 (juga dikenal sebagai Jade Sleet atau TraderTraitor), sebuah kelompok ancaman persisten tingkat lanjut (APT) yang disponsori oleh negara Korea Utara.

Insiden ini menjadi studi kasus krusial karena menampilkan perpaduan mematikan antara rekayasa sosial, eksploitasi mekanisme transfer data Peer-to-Peer (P2P), dan penggunaan taktik Living-off-the-Cloud (LOTC) untuk membajak infrastruktur Kubernetes secara senyap.

Baca Juga: Hacker Tiongkok "CL-UNK-1068" Susupi Infrastruktur Kritis Asia via Taktik Living-off-the-Land

Google Cloud membedah rantai serangan ini ke dalam tiga fase esensial yang menunjukkan progresi dari perangkat titik akhir (endpoint) hingga modifikasi logika finansial di pangkalan data:

1. Celah Awal: Social Engineering dan Bahaya AirDrop Serangan tidak dimulai secara langsung ke peladen perusahaan, melainkan menyasar titik terlemah: pengembang (developer). Melalui kedok kolaborasi proyek open-source, peretas memanipulasi pengembang untuk mengunduh file arsip ke perangkat pribadi miliknya. Petaka terjadi ketika pengembang tersebut memindahkan file berbahaya itu ke perangkat kerja korporat menggunakan fitur transfer peer-to-peer nirkabel, AirDrop. Saat pengembang membuka arsip tersebut menggunakan Integrated Development Environment (IDE) berbasis AI, skrip Python berbahaya secara otomatis tereksekusi. Skrip ini melahirkan binari yang menyamar sebagai alat command-line Kubernetes resmi, yang kemudian membuka backdoor ke domain yang dikendalikan penyerang.
2. Taktik Living-off-the-Cloud (LOTC) dan Manipulasi Kubernetes Setelah menguasai laptop korporat yang memiliki sesi autentikasi sah, peretas melompat (pivot) ke lingkungan Google Cloud.

• Membajak Bastion Host: Mereka memodifikasi kebijakan Multi-Factor Authentication (MFA) pada bastion hostuntuk mendapatkan akses lebih dalam.
• Injeksi CI/CD: UNC4899 memodifikasi konfigurasi deployment Kubernetes agar secara otomatis mengeksekusi perintah bash (mengunduh backdoor tambahan) setiap kali pod baru dibuat. Mereka juga memaksa platform CI/CD korban untuk mencetak token akun layanan (service account tokens) ke dalam log yang bisa mereka baca.

3. Ekskalasi Hak Akses dan Pencurian Kripto Dengan token akun layanan berhak istimewa tinggi di tangan, peretas berhasil melarikan diri dari kontainer (Container Escape) dan menargetkan pod infrastruktur sensitif. Mereka kemudian menemukan "harta karun" berupa kredensial pangkalan data (database credentials) statis yang disimpan secara tidak aman di dalam variabel lingkungan (environment variables) pod. Menggunakan kredensial ini, penyerang mengakses pangkalan data produksi melalui Cloud SQL Auth Proxy, memodifikasi akun pengguna bernilai tinggi (termasuk mereset kata sandi dan memperbarui bibit MFA), dan akhirnya menguras jutaan dolar aset digital.

Laporan dari Google Cloud ini menyoroti bahwa arsitektur cloud yang canggih sekalipun dapat runtuh oleh kebiasaan buruk yang tampaknya sepele, seperti mentransfer file via Bluetooth atau AirDrop. Menyimpan kredensial (rahasia) di dalam Environment Variables adalah dosa besar dalam arsitektur microservices. Variabel lingkungan sangat mudah bocor melalui log aplikasi atau dasbor orkestrasi.

Di Fourtrezz, kami sangat menekankan pendekatan Defense-in-Depth untuk mengamankan lingkungan komputasi awan yang gesit (Agile/DevOps):

1. Pemutusan "Jembatan Data" (MDM Policy): Terapkan kebijakan Mobile Device Management (MDM) yang ketat pada perangkat korporat. Fitur berbagi file P2P (seperti AirDrop, Bluetooth file sharing) dan akses ke media penyimpanan eksternal yang tidak dikelola wajib dinonaktifkan untuk memutus jalur masuk malware dari ekosistem yang tidak tepercaya.
2. Manajemen Rahasia yang Kokoh (Robust Secrets Management): Jangan pernah menanamkan (hardcode) kredensial basis data di dalam kode sumber atau variabel lingkungan Kubernetes. Gunakan brankas rahasia khusus (seperti HashiCorp Vault atau Google Secret Manager) yang secara dinamis menyuntikkan kredensial berumur pendek (short-lived credentials) hanya saat aplikasi membutuhkannya.
3. Lindungi Pipa CI/CD dan Isolasi Kontainer: Terapkan perlindungan beban kerja cloud (CWPP) yang mampu memantau proses tidak wajar di dalam kontainer. Kontainer tidak boleh berjalan dalam mode berhak istimewa (privileged mode) kecuali benar-benar mutlak diperlukan, untuk mencegah taktik Container Escape seperti yang dilakukan UNC4899.

Ketahanan cloud bukan hanya tentang mengonfigurasi firewall penyedia layanan, melainkan memastikan setiap baris kode, setiap akses pengembang, dan setiap perangkat titik akhir berada dalam pengawasan