Hanya 5 Menit Peretas Infiltrasi Jaringan

Hanya 5 Menit Peretas Infiltrasi Jaringan – Broker akses awal (Initial Access Broker) bernama KongTuke telah mengalihkan target serangannya ke platform kolaborasi Microsoft Teams untuk melancarkan aksi rekayasa sosial.

Dalam laporan terbaru, peretas ini hanya membutuhkan waktu singkat, kurang dari lima menit, untuk mendapatkan akses menetap ke dalam jaringan perusahaan korban.

Aksi KongTuke sangat berbahaya karena peran mereka sebagai IAB adalah menjual akses jaringan perusahaan kepada operator ransomware.

Operator tersebut kemudian akan menggunakan akses tersebut untuk mencuri data sensitif dan mengenkripsi file untuk memeras perusahaan.

Pergeseran Taktik

Sebelumnya, KongTuke dikenal menggunakan skema penipuan berbasis web seperti “FileFix” dan “CrashFix” (halaman web palsu yang meminta pengguna memperbaiki kesalahan file atau peramban).

Namun, sejak April 2026, para peneliti mengamati adanya pergeseran taktik di mana mereka mulai memanfaatkan platform kolaborasi.

Berikut adalah modus operandi yang digunakan KongTuke di Microsoft Teams:

• Peretas menghubungi karyawan perusahaan melalui chat eksternal di Teams, berpura-pura menjadi staf dukungan IT atau help-desk internal.
• Untuk meyakinkan korban, mereka menggunakan trik Unicode whitespace pada nama tampilan agar terlihat seperti akun internal yang sah.
• Korban dibujuk untuk menyalin dan menjalankan perintah PowerShell di sistem mereka dengan dalih perbaikan teknis. Perintah ini sebenarnya mengunduh arsip ZIP dari Dropbox yang berisi lingkungan WinPython portabel untuk menjalankan malware utama.

Para peneliti mencatat bahwa KongTuke telah menggunakan lima penyewa (tenant) Microsoft 365 yang berbeda secara bergantian untuk menghindari pemblokiran.

Mengenal ModeloRAT

Hasil akhir dari eksekusi perintah tersebut adalah instalasi ModeloRAT, sebuah malware berbasis Python yang telah berevolusi menjadi jauh lebih tangguh dibandingkan versi sebelumnya.

Versi terbaru ini memiliki kemampuan untuk mengumpulkan informasi sistem, mengambil tangkapan layar, hingga mencuri file dari komputer korban.

Tiga peningkatan utama pada ModeloRAT versi 2026 meliputi:

1. Menggunakan pool lima server dengan fitur pemulihan otomatis (failover), jalur URL yang diacak, dan kemampuan untuk memperbarui dirinya sendiri secara otomatis.
2. Selain RAT utama, peretas menanamkan reverse shell dan backdoor TCP yang berjalan di infrastruktur terpisah. Jika salah satu saluran terdeteksi dan dimatikan, peretas tetap memiliki jalur akses cadangan.
3. Malware ini menggunakan kunci registri, pintasan Startup, peluncur VBScript, dan tugas terjadwal (Scheduled Task) tingkat sistem (SYSTEM-level).

Hal yang paling mengkhawatirkan adalah tugas terjadwal ini tidak ikut terhapus meskipun peretas menjalankan rutin self-destruct untuk menghapus jejak lainnya. Artinya, akses peretas tetap bisa bertahan bahkan setelah sistem dimulai ulang (reboot).

Tren Penyalahgunaan Platform Kolaborasi

Untuk memperkaya konteks, perlu dicatat bahwa penyalahgunaan platform seperti Microsoft Teams dan Slack menjadi tren utama di tahun 2026.

Menurut data dari peneliti keamanan lainnya, serangan melalui chat dianggap lebih efektif daripada email tradisional karena adanya rasa percaya yang lebih tinggi di antara rekan kerja atau staf pendukung di platform tersebut.

Taktik “ClickFix” yang kini bertransformasi ke dalam pesan chat menunjukkan bahwa penyerang terus mencari celah di mana manusia paling rentan, yaitu saat mereka merasa sedang dibantu oleh bagian IT.

Langkah Mitigasi bagi Administrator TI

Untuk melindungi jaringan perusahaan dari serangan KongTuke dan ModeloRAT, berikut adalah langkah-langkah mitigasi yang disarankan:

1. Gunakan fitur allowlist untuk membatasi siapa saja dari luar organisasi yang dapat menghubungi karyawan Anda melalui Microsoft Teams. Blokir semua komunikasi eksternal secara default kecuali dari domain mitra tepercaya.
2. Ingatkan staf bahwa bagian IT resmi tidak akan pernah meminta pengguna untuk menjalankan perintah PowerShell secara manual melalui pesan chat.
3. Terapkan pemantauan ketat terhadap eksekusi PowerShell yang mencurigakan, terutama yang melibatkan pengunduhan file dari layanan awan publik seperti Dropbox.
4. Secara berkala lakukan audit terhadap Scheduled Tasks yang berjalan dengan hak akses SYSTEM untuk mencari artefak persistensi yang tidak sah.

Keberhasilan KongTuke dalam menyusup ke jaringan perusahaan hanya dalam lima menit membuktikan bahwa kecepatan social engineering kini setara dengan kecepatan teknologi itu sendiri.

Di masa sekarang, kepercayaan di dalam platform kolaborasi harus diimbangi dengan kontrol teknis yang ketat dan sistem yang terorganisasi ketat.

Kesigapan administrator dalam menutup celah komunikasi eksternal dan memantau persistensi sistem adalah kunci utama untuk mencegah akses awal ini berubah menjadi serangan ransomware yang melumpuhkan bisnis.

Baca juga: 

• Cara Membedakan Peringatan Data Breach Asli vs Palsu
• Panduan 12 Bulan Memperkuat Rantai Pasok
• Muslihat Kuda Kayu di Era Digital
• Celah Teknis Pengelolaan Data Industri Sensitif
• Melindungi Data Sensitif di Awan Publik
• Mengapa Zero Trust Standar Resiliensi Siber 2026
• Infiltrasi Storm Data Indonesia Jadi Incaran
• Titik Buta Ketika EDR Menjadi Target
• Memenangkan Balapan Melawan AI Siber
• Berpacu dengan Infiltrasi Hitungan Menit

Sumber berita: 

WeLiveSecurity