Westend61 via Westend61 / Getty Images
Ikhtisar Penting ZDNET:
- AI membantu penyerang mengeksploitasi kerentanan lebih cepat dari sebelumnya.
- Mayoritas serangan cloud kini menargetkan perangkat lunak pihak ketiga yang lemah.
- Bisnis memerlukan pertahanan otomatis berbasis AI untuk dapat mengimbanginya.
Debat mengenai manfaat nyata penerapan AI dalam bisnis masih berlangsung dan kian sengit. Namun, satu sektor yang jelas menuai keuntungan produktivitas besar di Era AI ini adalah pelaku kejahatan siber. Mereka kini lebih sukses dari sebelumnya dalam memanfaatkan kerentanan untuk menyerang bisnis di cloud, tepat di titik paling rentan.
Kesimpulan ini berasal dari laporan terbaru tim investigasi keamanan Google yang dirilis awal. Berdasarkan pengamatan paruh kedua 2025, Google Cloud Security menyatakan, "Jendela waktu antara pengungkapan kerentanan dan eksploitasi masif menyusut drastis, dari minggu menjadi hitungan hari."
Laporan tersebut menyimpulkan bahwa cara terbaik melawan serangan berbasis AI adalah dengan pertahanan yang diperkuat AI: "Aktivitas ini, bersama upaya berbantuan AI untuk menyelidiki target dan fokus pelaku ancaman pada pencurian data, mengindikasikan bahwa organisasi harus beralih ke pertahanan yang lebih otomatis."
Menyusup Melalui Kode Pihak Ketiga
Kini, ancaman keamanan tidak lagi berfokus pada infrastruktur inti layanan seperti Google Cloud, AWS, atau Azure—yang sudah terlindungi dengan baik. Sebaliknya, threat actors (istilah yang mencakup geng kriminal hingga agen negara, terutama dari Korea Utara) membidik kerentanan yang belum ditambal di kode pihak ketiga.
Laporan ini memuat beberapa contoh rinci serangan semacam itu. Salah satunya mengeksploitasi kerentanan kritis remote code execution (RCE) di React Server Components, pustaka JavaScript populer untuk antarmuka pengguna. Serangan dimulai kurang dari 48 jam setelah kerentanan (CVE-2025-55182/React2Shell) diumumkan.
Insiden lain melibatkan kerentanan RCE di Platform XWiki (CVE-2025-24893) yang memungkinkan penyerang menjalankan kode arbitrer di server jarak jauh. Tambalan dirilis Juni 2024, namun tidak segera diterapkan secara luas, sehingga dieksploitasi (termasuk oleh geng crypto mining) pada November 2025.
Satu narasi menarik melibatkan grup state-sponsored UNC4899 (diduga dari Korea Utara) yang mengambil alih workload Kubernetes untuk mencuri kripto senilai jutaan dolar. Eksploitasi diawali dengan mengelabui pengembang untuk mengunduh arsip berkedok kolaborasi proyek open source. Melalui IDE berbantuan AI, korban kemudian berinteraksi dengan konten arsip, tanpa sengaja menjalankan kode Python jahat yang menyamar sebagai alat command-line Kubernetes, memberi akses backdoor ke jaringan korporat.
Insiden lain dimulai dari paket Node Package Manager yang terkompromi, mencuri token GitHub pengembang, lalu digunakan untuk mengakses AWS, mencuri file dari bucket S3, dan menghancurkan aslinya—semua dalam 72 jam.
Mengkompromikan Identitas
Temuan utama lain adalah pergeseran dari serangan brute force pada kredensial lemah ke eksploitasi masalah identitas melalui berbagai teknik:
- 17% melibatkan rekayasa sosial berbasis suara (vishing).
- 12% mengandalkan phishing email.
- 21% melibatkan hubungan kepercayaan yang dikompromikan dengan pihak ketiga.
- 21% melibatkan pelaku yang memanfaatkan identitas (manusia dan non-manusia) yang dicuri.
- 7% berasal dari akses melalui aset aplikasi dan infrastruktur yang dikonfigurasi tidak tepat.
Penyerang juga tidak selalu datang dari luar. Laporan mencatat "insider jahat" (karyawan, kontraktor, konsultan, magang) mengirim data rahasia keluar organisasi, seringkali melalui layanan penyimpanan cloud seperti Google Drive, Dropbox, OneDrive, atau iCloud. Ini disebut sebagai "cara eksfiltrasi data yang tumbuh paling cepat."
Satu catatan mengkhawatirkan: penyerang kini sering kali tidak terburu-buru. "45% intrusi berujung pada pencurian data tanpa upaya pemerasan segera, dan sering ditandai masa dwell time yang lama serta persistence yang tersembunyi."
Langkah Perlindungan bagi Bisnis
Setiap bagian laporan menyertakan rekomendasi untuk profesional TI. Panduan ini terbagi menjadi saran spesifik bagi pengguna Google Cloud dan panduan umum bagi pengguna platform lain.
Bagi usaha kecil dan menengah yang tidak memiliki ahli keamanan internal, solusi terbaik adalah mencari managed service provider yang kompeten. Jangan mulai pencarian ini setelah serangan terjadi. Beberapa langkah kunci yang dapat diambil:
- Tingkatkan manajemen patching: Pastikan semua aplikasi, terutama dari pihak ketiga, diperbarui otomatis.
- Perkuat Manajemen Identitas dan Akses: Gunakan autentikasi multi-faktor dan batasi akses ke alat administratif.
- Pantau jaringan secara aktif: Identifikasi aktivitas dan pergerakan data yang tidak biasa, baik dari luar maupun ancaman insider.
- Siapkan rencana respons insiden: Beberapa jam pertama krusial. Kesiap-siagaan dapat mempersingkat waktu investigasi dan penanganan secara signifikan.