Bagaimana Layanan Cloudflare Disalahgunakan untuk Kampanye Spionase Siber Tersembunyi
Peneliti keamanan menemukan kampanye spionase siber yang menargetkan organisasi di Malaysia dengan memanfaatkan layanan Cloudflare seperti R2, Workers, Pages, dan Tunnels untuk menyamarkan aktivitas berbahaya. Penyerang menggunakan infrastruktur cloud tepercaya untuk meng host halaman phishing, menyebarkan malware,...
How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
Kampanye spionase siber modern semakin sering bersembunyi di tempat yang tampak “normal”: platform cloud yang juga digunakan oleh perusahaan di seluruh dunia.
Riset keamanan terbaru menunjukkan bahwa sejumlah organisasi di Malaysia menjadi target operasi siber yang memanfaatkan layanan cloud tepercaya—terutama dari Cloudflare—untuk menjalankan aktivitas berbahaya secara tersembunyi. Dengan menyalahgunakan fitur seperti R2 storage, Workers, Pages, dan Tunnels, pelaku dapat meng-host halaman phishing, menyiapkan malware, hingga memindahkan data curian melalui lalu lintas yang terlihat seperti aktivitas web biasa.
Pendekatan ini menyulitkan deteksi karena banyak perusahaan tidak bisa begitu saja memblokir layanan cloud besar tanpa mengganggu operasi bisnis mereka.
Kampanye yang Menargetkan Organisasi Malaysia
Para peneliti menemukan kampanye intrusi yang menargetkan beberapa organisasi di Malaysia dengan memanfaatkan infrastruktur yang dikendalikan penyerang pada Microsoft Azure di wilayah Malaysia West. Operasi ini menggunakan berbagai alat khusus berbasis Python untuk melakukan pemetaan jaringan internal, mengakses database, serta mengekstraksi data dari sistem korban.
Investigasi menunjukkan lingkungan serangan yang modular, termasuk:
Skrip khusus untuk pengintaian jaringan dan pengumpulan data internal
Infrastruktur yang dirancang untuk operasi pengawasan jangka panjang
Mekanisme khusus untuk mengirimkan file curian keluar dari jaringan korban
Analisis keamanan menunjukkan bahwa platform cloud—termasuk layanan Cloudflare—digunakan untuk menyembunyikan bagian dari rantai serangan sehingga lalu lintas berbahaya tampak seperti komunikasi cloud biasa.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Bagaimana Layanan Cloudflare Disalahgunakan untuk Kampanye Spionase Siber Tersembunyi"?
Peneliti keamanan menemukan kampanye spionase siber yang menargetkan organisasi di Malaysia dengan memanfaatkan layanan Cloudflare seperti R2, Workers, Pages, dan Tunnels untuk menyamarkan aktivitas berbahaya.
Apa poin penting yang harus divalidasi terlebih dahulu?
Peneliti keamanan menemukan kampanye spionase siber yang menargetkan organisasi di Malaysia dengan memanfaatkan layanan Cloudflare seperti R2, Workers, Pages, dan Tunnels untuk menyamarkan aktivitas berbahaya. Penyerang menggunakan infrastruktur cloud tepercaya untuk meng host halaman phishing, menyebarkan malware, dan memindahkan data curian tanpa mudah terdeteksi oleh sistem keamanan.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Kasus ini mencerminkan tren baru: aktor yang diduga terkait negara semakin memanfaatkan platform cloud populer untuk menyembunyikan operasi spionase siber mereka.
Bagaimana Layanan Cloudflare Disalahgunakan untuk Kampanye Spionase Siber Tersembunyi | Jawaban | Studio Global
Cara Penyerang Menyalahgunakan Layanan Cloudflare
Platform pengembang Cloudflare menyediakan berbagai fitur yang sah untuk membangun aplikasi web modern. Namun fitur yang sama juga bisa disalahgunakan oleh pelaku ancaman.
R2 Storage: Menyimpan Halaman Phishing dan Malware
Cloudflare R2 adalah layanan penyimpanan objek yang dapat digunakan untuk meng-host file atau situs statis. Penyerang memanfaatkannya untuk menyimpan halaman phishing atau payload malware karena unduhan berasal dari domain cloud yang memiliki reputasi baik.
Penelitian sebelumnya mencatat lonjakan 61 kali lipat trafik menuju halaman phishing yang di-host di Cloudflare R2 dalam periode enam bulan—menunjukkan seberapa cepat platform ini diadopsi oleh pelaku kejahatan siber.
Penggunaan yang umum antara lain:
Halaman pencuri kredensial yang meniru login Microsoft atau layanan cloud
Penyimpanan file arsip berbahaya atau loader malware
Lokasi staging untuk malware tahap kedua
Cloudflare Pages: Situs Phishing yang Terlihat Sah
Cloudflare Pages memungkinkan hosting situs statis pada infrastruktur global Cloudflare. Penyerang dapat membuat portal login palsu yang terlihat sangat meyakinkan karena halaman tersebut dilayani melalui jaringan Cloudflare, bukan domain mencurigakan milik penyerang.
Bagi banyak organisasi, memblokir domain yang berjalan di jaringan Cloudflare secara luas tidak praktis karena dapat mengganggu layanan sah.
Cloudflare Workers memungkinkan pengembang menjalankan kode JavaScript langsung di edge network Cloudflare. Penyerang dapat memanfaatkan kemampuan ini untuk membangun infrastruktur yang fleksibel, seperti:
Redirector yang mengarahkan korban ke halaman phishing
Reverse proxy yang menyadap kredensial login
Layanan command‑and‑control (C2) ringan
Penelitian keamanan menunjukkan bahwa Workers bahkan dapat digunakan untuk teknik transparent phishing, yaitu mem-proxy halaman login asli sambil diam‑diam mencatat kredensial yang dimasukkan korban.
Cloudflare Tunnel memungkinkan layanan di balik firewall diakses melalui jaringan Cloudflare tanpa mengungkapkan alamat server sebenarnya.
Fitur ini juga dapat disalahgunakan untuk:
Mengirim malware melalui tautan dalam email phishing
Meng-host payload berbahaya di subdomain Cloudflare
Menyembunyikan server command‑and‑control dari pemindaian internet
Sejumlah laporan keamanan menunjukkan kampanye malware yang mengirim remote‑access trojan (RAT) melalui infrastruktur Cloudflare Tunnel untuk menyamarkan lalu lintas berbahaya.
Mengapa Teknik Ini Sulit Dideteksi
Serangan berbasis cloud memberi beberapa keuntungan bagi operasi spionase siber.
Pertama, lalu lintas yang melewati platform tepercaya seperti Cloudflare atau Azure terlihat mirip dengan komunikasi SaaS atau CDN biasa. Hal ini membuat alat keamanan sulit membedakan mana aktivitas normal dan mana yang mencurigakan tanpa menghasilkan banyak alarm palsu.
Kedua, layanan serverless memungkinkan penyerang mengubah perilaku serangan dengan cepat tanpa mengelola server tradisional. Logika redirect, lokasi payload, atau infrastruktur dapat diganti dalam hitungan menit.
Ketiga, penyerang dapat menyebarkan operasi mereka di beberapa penyedia cloud sekaligus, sehingga menyulitkan analisis forensik dan atribusi.
Dugaan Kelompok di Balik Serangan
Pelaporan publik menyebut aktivitas ini memiliki pola yang konsisten dengan taktik spionase siber yang selaras dengan kepentingan negara, tetapi atribusi resmi masih belum pasti.
Beberapa analis mencatat kesamaan dengan operasi yang dilakukan oleh APT41, kelompok ancaman yang dikaitkan dengan Tiongkok dan dikenal melakukan kampanye spionase terhadap sektor teknologi, telekomunikasi, kesehatan, dan industri lainnya di banyak negara.
APT41 juga pernah menggunakan infrastruktur cloud dan jaringan CDN untuk menyembunyikan server command‑and‑control mereka.
Namun hingga kini belum ada konfirmasi resmi yang mengaitkan kampanye di Malaysia secara langsung dengan APT41, Mustang Panda, atau Amaranth‑Dragon. Operasi ini masih dikategorikan sebagai aktivitas spionase yang diduga terkait aktor negara.
Mengapa Malaysia Menjadi Target Menarik
Malaysia sedang mengalami pertumbuhan pesat dalam ekonomi digital, menjadikannya target menarik bagi operasi spionase siber.
Investasi digital yang disetujui mencapai RM163,6 miliar pada 2024 dan RM87,4 miliar pada 2025, didorong oleh perkembangan di bidang kecerdasan buatan (AI), big data, pusat data, dan layanan cloud.
Pertumbuhan ini menciptakan target intelijen yang bernilai tinggi, seperti:
Kredensial cloud dan identitas perusahaan
Kekayaan intelektual dan kode perangkat lunak
Infrastruktur pusat data dan rantai pasokan teknologi
Sistem digital yang terkait dengan pemerintah
Bagi kelompok spionase, akses ke organisasi di sektor ini dapat memberikan informasi ekonomi dan strategis yang sangat berharga.
Tren Lebih Besar: Serangan Berpindah ke Infrastruktur Cloud
Kasus di Malaysia mencerminkan perubahan yang lebih luas dalam dunia spionase siber. Banyak pelaku ancaman kini meninggalkan server berbahaya yang mudah dikenali dan beralih ke infrastruktur cloud yang tepercaya.
Dengan menanamkan bagian dari operasi mereka di dalam platform populer seperti penyimpanan objek, komputasi serverless, dan jaringan CDN, penyerang mendapatkan beberapa keuntungan:
Reputasi yang “dipinjam” dari penyedia cloud besar
Lalu lintas terenkripsi yang tampak seperti aktivitas web normal
Infrastruktur yang mudah diskalakan dan diganti dengan cepat
Bagi tim keamanan, ini berarti pemblokiran berdasarkan reputasi domain saja tidak lagi cukup. Organisasi kini perlu mengandalkan deteksi berbasis perilaku, pemantauan penggunaan layanan cloud yang tidak biasa, dan analisis mendalam terhadap aliran data keluar dari jaringan.
Seiring platform cloud terus berkembang, alat yang sama yang mendorong aplikasi modern juga semakin sering dimanfaatkan sebagai infrastruktur untuk operasi spionase siber modern.
Comments
0 comments