Peretasan China Lewat Google Workspace: Bagaimana Kelompok Siber Menyalahgunakan Fitur untuk Mencuri Email Riset dan Pertahanan

Kelompok peretas yang diduga berafiliasi dengan pemerintah China baru-baru ini membongkar cara kerja serangan siber yang sangat canggih dan sulit dideteksi. Dalam laporan terbaru, analis keamanan Google mengungkap bagaimana kelompok yang disebut UNC6508 menyusup ke jaringan organisasi riset, akademik, dan militer di Amerika Utara selama lebih dari setahun. Serangan ini dimulai dari celah pada platform REDCap—perangkat lunak yang banyak digunakan untuk mengelola data penelitian medis dan akademik—dan berlanjut dengan penyalahgunaan fitur bawaan Google Workspace untuk mencuri ribuan email sensitif tanpa meninggalkan jejak mencurigakan. Temuan ini menunjukkan bagaimana aktor negara memanfaatkan kombinasi kerentanan infrastruktur, pencurian kredensial, dan eksploitasi fitur sah untuk melakukan pengintaian jangka panjang yang hampir tak terdeteksi.

Penyusupan dimulai dengan kompromi terhadap server REDCap yang terpapar ke internet. REDCap sendiri adalah platform populer yang digunakan oleh rumah sakit, universitas, dan lembaga penelitian untuk membangun dan mengelola basis data studi klinis dan akademik. Setelah berhasil masuk, kelompok UNC6508 tidak langsung mengekstraksi data, melainkan melakukan pengintaian internal selama sekitar tiga bulan. Selama masa ini, mereka mencuri kredensial pengguna dan akun layanan, serta melakukan gerakan lateral untuk mendapatkan akses administratif penuh di domain korban. Dengan hak administratif tersebut, mereka kemudian mengaktifkan mekanisme pencurian data yang jauh lebih berbahaya: penyalahgunaan aturan kepatuhan konten di Google Workspace.

REDCap sebagai Pintu Masuk: Platform Riset yang Menjadi Target Utama

REDCap (Research Electronic Data Capture) telah menjadi standar de facto bagi institusi riset di seluruh dunia karena kemudahan penggunaannya dalam mengelola data penelitian. Platform ini memungkinkan pengguna untuk membangun formulir elektronik, mengumpulkan data, dan menganalisis hasil studi klinis maupun akademik. Namun, popularitasnya juga menjadikannya target empuk bagi aktor jahat. Dalam serangan ini, kelompok UNC6508 memanfaatkan server REDCap yang terpapar ke internet—baik karena konfigurasi yang tidak aman, pembaruan yang terlewat, atau kerentanan yang tidak ditambal—untuk mendapatkan akses awal.

Meskipun Google belum mengidentifikasi kerentanan spesifik (CVE) atau versi perangkat lunak yang rentan, analis melihat kelompok ini memindai dan mengeksploitasi kerentanan pada versi lama REDCap. Setelah berhasil masuk, mereka tidak langsung mengekstraksi data, melainkan melakukan pengintaian internal selama sekitar tiga bulan. Selama masa ini, mereka mencuri kredensial pengguna dan akun layanan, serta melakukan gerakan lateral untuk mendapatkan akses administratif penuh di domain korban. Tindakan ini menunjukkan pola serangan yang terencana: aktor tidak terburu-buru, melainkan membangun pijakan yang kokoh sebelum melakukan tindakan lebih lanjut.

Bagi organisasi yang menggunakan REDCap, ini adalah pengingat penting untuk selalu memperbarui perangkat lunak, membatasi akses eksternal hanya pada alamat IP yang diperlukan, serta menerapkan autentikasi multi-faktor (MFA) untuk semua akun administratif. Selain itu, pemantauan aktivitas mencurigakan di server yang terpapar internet—seperti koneksi asing yang tidak biasa atau perubahan konfigurasi yang tidak sah—dapat membantu mendeteksi kompromi sejak dini.

INFINITERED: Malware yang Menghidupkan Backdoor di Server REDCap

Setelah mendapatkan akses awal, kelompok UNC6508 melakukan tindakan yang lebih dalam dengan menyebarkan malware bernama INFINITERED. Malware ini tidak berdiri sendiri, melainkan menumpang pada sistem file REDCap itu sendiri, sehingga sulit dideteksi oleh solusi keamanan konvensional. INFINITERED dirancang untuk melakukan tiga tindakan utama: pengintaian internal, pencurian kredensial, dan persiapan untuk tahap eksfiltrasi data.

Malware ini memungkinkan aktor untuk melakukan pengintaian terhadap jaringan internal korban, termasuk mengidentifikasi akun dengan hak administratif tinggi. Dengan akses tersebut, mereka dapat memetakan struktur jaringan, menemukan basis data sensitif, dan mengidentifikasi target utama—dalam kasus ini, sistem email yang digunakan oleh peneliti dan staf pertahanan. Proses ini dilakukan secara diam-diam, tanpa meninggalkan jejak yang mudah terlihat di log sistem atau aktivitas jaringan yang mencurigakan.

Bagi tim keamanan organisasi, keberadaan malware semacam ini menekankan pentingnya pemindaian mendalam terhadap sistem yang telah dikompromi. Solusi keamanan yang mampu mendeteksi perubahan pada sistem file—seperti perubahan pada file inti REDCap—serta pemantauan perilaku mencurigakan di jaringan internal dapat membantu mengidentifikasi keberadaan malware semacam INFINITERED. Selain itu, penerapan prinsip least privilege—memberikan hak akses seminimal mungkin kepada pengguna—dapat membatasi dampak gerakan lateral yang dilakukan oleh aktor jahat.

Google Workspace yang Disalahgunakan: Fitur Sah yang Berubah Menjadi Senjata

Setelah mendapatkan akses administratif, kelompok UNC6508 melakukan tindakan yang paling tidak biasa: mereka menyalahgunakan fitur kepatuhan konten di Google Workspace untuk mengekstraksi data tanpa perlu mengirimkan malware tambahan. Fitur ini, yang seharusnya digunakan oleh administrator untuk memindai dan memfilter email berdasarkan kata kunci tertentu, dimanfaatkan untuk menyalin ribuan email yang sesuai dengan kriteria pencarian yang telah ditentukan.

Kelompok ini membuat aturan kepatuhan konten yang menargetkan hampir 150 kata kunci, istilah pencarian, dan alamat email tertentu. Ketika email masuk atau keluar yang mengandung salah satu dari istilah tersebut terdeteksi, sistem secara otomatis akan menyalin email tersebut dan mengirimkannya sebagai salinan tersembunyi (BCC) ke alamat Gmail yang dikendalikan oleh aktor. Yang lebih mencurigakan, kesalahan pengetikan dalam aturan—seperti "Patroit" alih-alih "Patriot"—menunjukkan bahwa pembuat aturan tidak terburu-buru atau tidak terlalu peduli dengan detail kecil, tetapi lebih fokus pada volume dan cakupan data yang berhasil dikumpulkan.

Penggunaan fitur kepatuhan konten ini menunjukkan bahwa aktor tidak hanya mengandalkan malware atau teknik eksploitasi tradisional, tetapi juga memanfaatkan mekanisme internal yang sah untuk menghindari deteksi. Bagi organisasi yang menggunakan Google Workspace, ini adalah pengingat penting untuk memeriksa aturan kepatuhan konten yang ada, memastikan tidak ada aturan yang tidak sah atau mencurigakan, serta membatasi akses administratif hanya kepada personel yang benar-benar membutuhkannya. Selain itu, penerapan pencatatan aktivitas administratif yang lebih ketat dan pemantauan perubahan pada aturan Google Workspace dapat membantu mendeteksi aktivitas semacam ini sejak dini.

Korban yang Terdampak: Riset Medis, Akademik, dan Militer di Amerika Utara

Menurut laporan Google, kelompok UNC6058 menargetkan berbagai jenis organisasi di Amerika Utara, termasuk penyedia layanan klinis, pusat akademik, institusi kesehatan militer, kelompok advokasi, dan regulator kesehatan. Meskipun tidak ada nama korban yang disebutkan, serangan ini menunjukkan bahwa aktor negara tidak hanya tertarik pada data pertahanan semata, tetapi juga pada informasi sensitif yang terkait dengan riset medis dan akademik.

Riset medis, terutama yang berkaitan dengan pengembangan vaksin, pengobatan penyakit menular, atau teknologi medis baru, sering kali menjadi target utama karena nilainya yang tinggi di pasar gelap dan potensi untuk memberikan keuntungan strategis bagi negara lain. Sementara itu, data akademik—seperti hasil penelitian, proposal penelitian, atau komunikasi internal antara peneliti—juga dapat dimanfaatkan untuk memajukan agenda negara asing, baik melalui pencurian kekayaan intelektual maupun untuk memengaruhi arah penelitian global.

Bagi organisasi yang bergerak di bidang-bidang ini, serangan ini menekankan pentingnya menerapkan praktik keamanan yang ketat, termasuk enkripsi data, pembatasan akses berbasis peran, dan pelatihan karyawan untuk mengenali upaya phishing atau teknik rekayasa sosial lainnya. Selain itu, kolaborasi dengan pihak berwenang dan berbagi informasi mengenai ancaman yang dihadapi dapat membantu membangun pertahanan yang lebih kuat secara kolektif.

Langkah-Langkah yang Dapat Dilakukan Organisasi untuk Mencegah Serangan Serupa

Serangan ini bukanlah insiden tunggal, melainkan bagian dari tren yang semakin meningkat di mana aktor negara memanfaatkan kombinasi kerentanan infrastruktur, pencurian kredensial, dan eksploitasi fitur sah untuk melakukan pengintaian jangka panjang. Bagi organisasi yang ingin memperkuat pertahanan mereka, ada beberapa langkah praktis yang dapat diambil.

Pertama, pastikan semua perangkat lunak—terutama yang terpapar ke internet seperti REDCap—selalu diperbarui dengan patch terbaru. Kedua, terapkan autentikasi multi-faktor (MFA) untuk semua akun administratif dan sensitif. Ketiga, batasi akses eksternal hanya kepada alamat IP yang diperlukan dan gunakan firewall atau solusi Zero Trust untuk meminimalkan risiko kompromi. Keempat, lakukan pemantauan aktivitas mencurigakan di jaringan internal, termasuk perubahan konfigurasi yang tidak sah atau koneksi asing yang tidak biasa.

Selain itu, tinjau secara berkala aturan kepatuhan konten di Google Workspace atau platform email lainnya untuk memastikan tidak ada aturan yang tidak sah atau mencurigakan. Pastikan juga untuk mencatat semua aktivitas administratif dan membatasi akses administratif hanya kepada personel yang benar-benar membutuhkannya. Terakhir, berikan pelatihan kepada karyawan mengenai praktik keamanan siber, termasuk cara mengenali upaya phishing, teknik rekayasa sosial, dan pentingnya melaporkan aktivitas mencurigakan.

Masa Depan Ancaman Siber: Aktor Negara Memanfaatkan Fitur Sah sebagai Senjata

Serangan ini menunjukkan pergeseran dalam taktik yang digunakan oleh aktor negara dalam melakukan pengintaian siber. Jika sebelumnya mereka lebih mengandalkan malware atau eksploitasi kerentanan, kini mereka semakin sering memanfaatkan fitur sah yang ada di dalam platform populer—seperti Google Workspace—untuk menghindari deteksi. Hal ini membuat serangan menjadi lebih sulit dideteksi dan ditanggulangi, karena aktivitas mereka terlihat seperti lalu lintas normal dalam sistem.

Bagi penyedia layanan cloud dan platform perangkat lunak, ini adalah tantangan besar. Mereka harus terus meningkatkan mekanisme deteksi dan respons terhadap aktivitas mencurigakan, serta memberikan alat yang lebih baik kepada pelanggan untuk memantau dan mengelola aturan serta konfigurasi keamanan. Bagi organisasi pengguna, penting untuk selalu waspada dan tidak menganggap fitur sah sebagai sesuatu yang sepenuhnya aman. Setiap fitur—bahkan yang dirancang untuk meningkatkan produktivitas—dapat disalahgunakan jika tidak dikelola dengan benar.

Selain itu, kolaborasi antara sektor publik dan swasta juga menjadi kunci dalam menghadapi ancaman ini. Pemerintah dan badan keamanan siber dapat berbagi informasi mengenai taktik, teknik, dan prosedur (TTP) yang digunakan oleh aktor jahat, sementara organisasi swasta dapat memberikan umpan balik mengenai ancaman yang mereka hadapi. Dengan bekerja sama, kedua belah pihak dapat membangun pertahanan yang lebih kuat dan responsif terhadap ancaman siber yang terus berkembang.

Apa yang Perlu Dilakukan Selanjutnya: Panduan untuk Organisasi dan Individu

Bagi organisasi yang merasa terpengaruh atau ingin mempersiapkan diri terhadap serangan serupa, ada beberapa tindakan yang dapat segera dilakukan. Pertama, lakukan audit keamanan menyeluruh terhadap semua sistem yang terpapar internet, terutama yang menggunakan REDCap atau platform serupa. Pastikan tidak ada server yang terlupakan atau konfigurasi yang tidak aman.

Kedua, periksa semua aturan kepatuhan konten dan filter email di Google Workspace atau platform email lainnya. Hapus aturan yang tidak sah atau mencurigakan, dan pastikan hanya administrator yang berwenang yang dapat membuat atau mengubah aturan tersebut. Ketiga, terapkan pencatatan aktivitas administratif yang lebih ketat dan tinjau log secara berkala untuk mendeteksi aktivitas mencurigakan.

Bagi individu, terutama yang bekerja di bidang riset, akademik, atau pertahanan, penting untuk selalu waspada terhadap upaya phishing atau teknik rekayasa sosial lainnya. Jangan pernah membagikan kredensial atau informasi sensitif melalui tautan yang tidak dikenal, dan pastikan untuk selalu menggunakan MFA pada semua akun penting. Selain itu, laporkan aktivitas mencurigakan kepada tim keamanan internal sesegera mungkin.

Serangan ini bukanlah akhir dari ancaman siber, melainkan sebuah pengingat bahwa keamanan siber adalah tanggung jawab bersama. Dengan menerapkan praktik keamanan yang ketat, meningkatkan kesadaran akan ancaman yang ada, dan bekerja sama dengan pihak lain, organisasi dan individu dapat membantu mengurangi risiko dan melindungi data sensitif dari aktor jahat.