Ketika Cloudflare Dipakai sebagai “Tempat Persembunyian” Spionase Siber

Mengapa Layanan Cloudflare Menarik bagi Penyerang

Cloudflare mengoperasikan platform global besar yang menyediakan penyimpanan objek, komputasi serverless, hosting situs, hingga tunneling jaringan. Fitur‑fitur ini sangat berguna bagi pengembang—tetapi juga dapat dimanfaatkan oleh pelaku ancaman untuk menyembunyikan infrastruktur berbahaya.

Beberapa laporan keamanan menunjukkan bahwa sejumlah layanan Cloudflare kerap muncul dalam kampanye serangan karena lalu lintasnya menyatu dengan aktivitas cloud yang sah.

R2 Storage: Jalur Rahasia untuk Mengeluarkan Data

Cloudflare R2 adalah layanan penyimpanan objek yang fungsinya mirip Amazon S3. Penyerang dapat menggunakannya untuk:

• Mengunggah arsip data yang dicuri dari jaringan korban
• Menyimpan payload malware
• Mendistribusikan file dari domain Cloudflare yang dipercaya

Dalam kasus intrusi di Malaysia, peneliti menemukan skrip khusus yang dirancang untuk mengunggah data hasil pencurian langsung ke penyimpanan yang dihosting melalui Cloudflare.

Cloudflare Pages: Infrastruktur Phishing

Cloudflare Pages memungkinkan siapa pun membuat dan mempublikasikan situs statis dengan cepat. Penyerang dapat memanfaatkannya untuk:

• Menjalankan portal phishing
• Menyediakan halaman unduhan dokumen palsu
• Menyamar sebagai situs web sah yang dihosting di infrastruktur tepercaya

Karena berjalan di jaringan Cloudflare, situs tersebut sering kali terlihat kredibel bagi sistem keamanan maupun korban.

Cloudflare Workers: Relay Command‑and‑Control di Edge

Workers memungkinkan eksekusi kode serverless di jaringan edge Cloudflare. Dalam konteks serangan siber, fitur ini bisa dipakai untuk:

• Mengalihkan korban ke halaman phishing
• Menjadi perantara komunikasi command‑and‑control
• Mengatur rute lalu lintas berbahaya secara dinamis

Beberapa laporan penelitian bahkan menunjukkan infrastruktur remote‑access trojan berjalan melalui akun Cloudflare Workers, yang berarti saluran kendali penyerang sepenuhnya berada di dalam layanan cloud sah.

Cloudflare Tunnels: Menyembunyikan Server Asal

Cloudflare Tunnel memungkinkan server internal diakses dari internet tanpa mengungkap alamat IP aslinya. Bagi penyerang, ini berarti mereka bisa menyembunyikan infrastruktur malware di balik jaringan Cloudflare.

Beberapa kampanye malware telah memanfaatkan subdomain Cloudflare Tunnel untuk menghosting payload yang kemudian didistribusikan melalui email phishing atau rantai infeksi otomatis.

Bagian dari Tren Spionase Siber di Asia Tenggara

Insiden di Malaysia bukanlah kasus terisolasi. Di Asia Tenggara, kelompok spionase siber semakin sering memanfaatkan layanan cloud sah untuk menyamarkan operasi mereka.

Pertumbuhan pesat infrastruktur digital Malaysia—terutama di sektor telekomunikasi, transportasi, dan energi—membuat negara ini semakin menarik bagi operasi pengumpulan intelijen siber.

Beberapa kelompok advanced persistent threat (APT) yang aktif di kawasan ini menggunakan pendekatan serupa.

Mustang Panda

Mustang Panda adalah aktor spionase siber yang berbasis di Tiongkok dan aktif setidaknya sejak 2012. Kelompok ini dikenal menargetkan organisasi pemerintah dan diplomatik menggunakan email phishing dan malware yang disesuaikan untuk target tertentu.

APT41

APT41 secara luas dinilai sebagai kelompok ancaman yang disponsori negara dan terlibat dalam kampanye spionase di berbagai sektor industri di banyak negara. Kelompok ini menggunakan beragam malware serta alat khusus untuk mempertahankan akses jangka panjang ke jaringan korban.

Amaranth‑Dragon

Kampanye yang lebih baru di Asia Tenggara juga dikaitkan dengan kelompok bernama Amaranth‑Dragon. Peneliti menilai kelompok ini memiliki hubungan erat dengan ekosistem APT41 dan telah menargetkan lembaga pemerintah serta penegak hukum di berbagai negara ASEAN.

Meski aktivitas yang terkait dengan Cloudflare dalam kasus Malaysia belum secara publik diatribusikan ke kelompok tertentu, pola operasinya—alat khusus target, fokus regional, dan infrastruktur tersembunyi—mirip dengan taktik yang sering digunakan aktor spionase yang didukung negara.

Mengapa Sulit Dideteksi oleh Tim Keamanan

Masalah utama bagi defender adalah bahwa lalu lintas jaringan dalam serangan seperti ini tampak sepenuhnya normal.

Permintaan jaringan ke penyimpanan Cloudflare atau endpoint serverless terlihat sama seperti lalu lintas web terenkripsi biasa. Memblokir seluruh layanan Cloudflare hampir tidak mungkin karena banyak organisasi juga bergantung pada layanan tersebut untuk operasi normal.

Karena itu, strategi pertahanan kini semakin bergeser dari sekadar reputasi domain ke deteksi berbasis perilaku.

Beberapa indikator yang dapat memicu kecurigaan antara lain:

• Upload tak terduga ke endpoint penyimpanan Cloudflare
• Subdomain Cloudflare baru yang tiba‑tiba dihubungi server internal
• Permintaan HTTPS POST berukuran besar setelah pembuatan arsip
• Sistem yang biasanya tidak mengakses internet tiba‑tiba berkomunikasi dengan layanan cloud
• Aktivitas cloud yang bertepatan dengan credential dumping, akses database, atau aktivitas administratif jarak jauh

Pelajaran Besar bagi Keamanan Siber

Kampanye spionase di Malaysia menyoroti perubahan besar dalam strategi infrastruktur serangan. Alih‑alih menjalankan server yang jelas berbahaya, aktor ancaman kini “hidup di dalam” ekosistem cloud tepercaya.

Bagi organisasi, ini berarti kontrol keamanan tidak lagi cukup hanya dengan daftar izin domain atau reputasi layanan. Pengawasan harus beralih ke identitas pengguna, perilaku sistem, serta pergerakan data di dalam dan keluar dari layanan cloud.

Ketika infrastruktur berbahaya bersembunyi di platform global yang dipercaya, mendeteksi penyerang bukan lagi soal ke mana lalu lintas pergi—melainkan bagaimana lalu lintas itu berperilaku.