Sebuah kelompok peretas bernama Storm-2603 tengah menjadi perhatian para pakar keamanan siber setelah melakukan serangkaian serangan ransomware yang menargetkan aplikasi SharePoint, populer di lingkungan bisnis dan pemerintahan. Kelompok ini diketahui memanfaatkan empat celah keamanan (vulnerability) di SharePoint, yaitu CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, dan CVE-2025-53771, untuk mendapatkan akses pertama ke sistem target.

Setelah berhasil masuk ke sistem, para penyerang memasang perangkat berbahaya berupa malware loader dan kontrol jarak jauh (command-and-control implant), sebelum akhirnya menyebarkan ransomware berbahaya seperti LockBit dan Warlock. Aksi kelompok ini tidak dilakukan secara terburu-buru, melainkan melalui beberapa tahap tersembunyi agar tidak mudah terdeteksi oleh sistem keamanan.

Storm-2603 dikenal menggunakan framework kontrol khusus bernama ak47c2 yang bekerja lewat protokol HTTP maupun DNS. Dalam beberapa kejadian, mereka menyebarkan program jahat melalui file arsip (archive) yang sudah disusupi backdoor, serta memasang installer palsu untuk mengelabui korban. Selain itu, teknik sideloading pada file DLL (Dynamic Link Library) juga digunakan untuk menjalankan ransomware, sekaligus memanfaatkan celah pada driver sistem untuk menonaktifkan perlindungan endpoint. Dengan cara ini, malware berbahaya bisa berjalan tanpa hambatan keamanan.

Praktik ini menandakan adanya tren baru di mana penjahat siber menggabungkan teknik eksploitasi celah keamanan aplikasi dengan pengiriman malware melalui file, demi menyulitkan deteksi oleh sistem keamanan tradisional. Teknik seperti penyusupan kode berbahaya pada aplikasi resmi (DLL hijacking), komunikasi tersembunyi lewat DNS, dan penggunaan file MSI (installer) yang tidak sah membuat aksi mereka semakin sulit dideteksi dan dilacak.

Apa yang Harus Diwaspadai?
Para profesional keamanan dihimbau untuk meningkatkan kewaspadaan terhadap aktivitas mencurigakan seperti:

• Adanya file DLL yang disisipkan (sideloaded),

• Pergerakan jaringan abnormal, khususnya lalu lintas DNS yang tidak biasa,

• Eksekusi file installer (MSI) yang tidak dikenali atau tidak bertanda tangan resmi.

Pertahanan terhadap ancaman seperti Storm-2603 memerlukan pantauan perilaku sistem yang lebih mendalam, serta upaya proaktif untuk mendeteksi pergerakan lateral dan aktivitas eksploitasi setelah penyerangan awal.

Kesimpulan
Serangan-serangan canggih yang dilakukan kelompok seperti Storm-2603 memperlihatkan bahwa keamanan siber harus terus diperkuat, terutama pada aplikasi bisnis yang banyak digunakan. Penting bagi organisasi untuk segera memperbarui perangkat lunak, memperkuat monitoring keamanan, serta melakukan pelatihan kepada staf mengenai ancaman terbaru di dunia maya.

Sumber Referensi: Microsoft Security Blog – Disrupting active exploitation of on-premises SharePoint vulnerabilities (penjelasan resmi dari Microsoft, detail aktor Storm-2603, penjelasan teknik dan ransomware yang digunakan):
https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/