Tim intelijen ancaman Google, Mandiant, pada Jumat lalu merilis peringatan keras mengenai ekspansi aktivitas serangan siber yang bermotif pemerasan finansial. Serangan ini menggunakan taktik yang konsisten dengan kelompok peretas terkenal, ShinyHunters, namun dengan pendekatan yang jauh lebih agresif dan personal.

Para pelaku tidak lagi hanya mengandalkan malware senyap. Mereka kini secara aktif menghubungi karyawan target melalui telepon (teknik voice phishing atau vishing), menyamar sebagai staf IT perusahaan, dan mengarahkan korban ke situs pemanen kredensial palsu. Tujuan akhirnya jelas: membobol aplikasi berbasis cloud (SaaS), mencuri data sensitif, dan memeras perusahaan korban.

Baca Juga: Operasi "RedKitten": Aktor Negara Iran Gunakan Kodingan AI dan Telegram untuk Buru Aktivis HAM

Mandiant melacak aktivitas ini dalam beberapa klaster kode untuk mengantisipasi kemungkinan evolusi taktik atau peniruan oleh kelompok lain. Dua klaster utama yang menonjol adalah:

1. UNC6661 (Januari 2026):
   • Modus: Menelpon karyawan dengan dalih membantu pembaruan pengaturan Multi-Factor Authentication(MFA). Korban diarahkan ke situs palsu untuk memasukkan kredensial.
   • Eskalasi: Setelah mendapat akses, peretas mendaftarkan perangkat MFA mereka sendiri, lalu bergerak lateral di jaringan untuk menguras data SaaS.
   • Target Spesifik: Dalam satu kasus, mereka menggunakan akses email korban untuk mengirim phishinglanjutan ke kontak di perusahaan aset kripto, sebelum menghapus jejak email tersebut. Ini diikuti oleh pemerasan yang dilakukan oleh klaster induk UNC6240 (ShinyHunters).
2. UNC6671 (Awal Januari 2026):
   • Modus: Serupa dengan UNC6661, menyamar sebagai staf IT untuk mencuri kode MFA dan kredensial Okta.
   • Taktik Teknis: Menggunakan skrip PowerShell untuk mengunduh data sensitif secara massal dari SharePoint dan OneDrive.
   • Perbedaan: Menggunakan pendaftar domain berbeda (Tucows, dibanding NICENIC milik UNC6661) dan email pemerasan yang tidak tumpang tindih dengan indikator UNC6240, menunjukkan sifat kelompok ini yang amorf (berubah-ubah) dan mungkin melibatkan sub-kontraktor berbeda.

Google menegaskan bahwa serangan ini bukan akibat kerentanan produk, melainkan murni keberhasilan Social Engineering. Untuk melawan ancaman ini, Google merekomendasikan:

• Verifikasi Visual: Wajibkan staf IT (Help Desk) melakukan panggilan video langsung untuk memverifikasi identitas sebelum melakukan reset akun.
• Hapus MFA Lemah: Hilangkan metode autentikasi berbasis SMS, telepon, atau push notification sederhana. Beralihlah ke kunci keamanan FIDO2 atau Passkeys yang tahan phishing.
• Deteksi Anomali: Pantau pendaftaran perangkat MFA baru dan aktivitas ekspor data SaaS yang tidak wajar di luar jam kerja.

Laporan Mandiant ini mengonfirmasi tren yang mengkhawatirkan: Identitas adalah Perimeter Baru. Peretas tidak lagi repot-repot menjebol firewall perusahaan; mereka cukup "menelpon" karyawan Anda dan meminta kuncinya secara sopan. Serangan terhadap penyedia identitas (IdP) seperti Okta dan platform kolaborasi SaaS menunjukkan bahwa peretas mengincar jantung operasional bisnis modern.