Serangan siber kembali jadi sorotan besar. Sejak 14 November 2025, platform GlobalProtect VPN milik Palo Alto Networks dilaporkan dihantam lebih dari 2,3 juta sesi berbahaya. Temuan ini diungkap oleh firma intelijen ancaman GreyNoise, dan jadi salah satu lonjakan aktivitas serangan terbesar dalam 90 hari terakhir.
Baca Juga : 10 Perangkat Keamanan Jaringan Terbaik untuk Melindungi Data Kita
Yang bikin situasi makin mengkhawatirkan, serangan ini melonjak hingga 40 kali lipat hanya dalam waktu 24 jam. Lonjakan cepat seperti ini menunjukkan kalau pelaku sudah menyiapkan kampanye terstruktur yang menargetkan akses jarak jauh, terutama VPN yang saat ini masih jadi tulang punggung kerja remote di berbagai organisasi.
Login Portal Jadi Sasaran Utama
Fokus utama para penyerang ada di URI /global-protect/login.esp pada perangkat Palo Alto PAN-OS dan GlobalProtect. Mayoritas aksi yang terdeteksi adalah brute-force login, yaitu metode di mana hacker mencoba berbagai kombinasi username dan password secara otomatis. Jika berhasil, pelaku bisa masuk ke jaringan internal perusahaan tanpa izin.
GreyNoise mencatat peningkatan ini mulai terlihat sejak minggu lalu. Aktivitasnya terus naik saat banyak perusahaan mengandalkan VPN untuk menjaga koneksi aman. Kondisi ini membuat portal VPN kembali jadi pintu masuk favorit para peretas untuk mencuri akses atau mempersiapkan serangan lanjutan.
Serangan semacam ini bukan cuma berpotensi membuka jalan ke pencurian data, tapi juga memperlihatkan celah keamanan yang masih sering terjadi pada perangkat jaringan yang digunakan secara luas.
Siapa di Balik Serangan Ini? Ada Pola yang Sama
Menurut GreyNoise, lonjakan agresif ke GlobalProtect ini punya keterkaitan kuat dengan kampanye berbahaya sebelumnya. Bahkan, mereka menilai ada kemungkinan besar pelakunya berasal dari kelompok yang sama.
Beberapa indikator teknis yang mendukung kesimpulan tersebut antara lain:
-
Fingerprint TCP dan JA4t yang konsisten dengan insiden sebelumnya,
-
Infrastruktur serangan yang memakai ASN berulang,
-
Waktu serangan yang sinkron, mirip pola operasi kelompok terorganisir.
Kesamaan pola ini menunjukkan bahwa para pelaku kemungkinan merupakan aktor ancaman tingkat tinggi—baik kelompok kriminal siber profesional atau operasi negara (state-sponsored)—yang sedang menguji berbagai taktik untuk menembus pertahanan perusahaan.
Serangan Didominasi Infrastruktur Jerman
Hal menarik lainnya: serangan ini ternyata punya konsentrasi infrastruktur yang sangat kuat. GreyNoise mencatat bahwa:
-
62% sesi berasal dari AS200373 (3xK Tech GmbH) yang berbasis di Jerman,
-
15% lainnya masih berasal dari ASN yang sama namun dirutekan lewat cluster di Kanada,
-
Sisanya datang dari AS208885 (Noyobzoda Faridduni Saidilhom).
Dengan distribusi seperti ini, terlihat bahwa para pelaku memakai hosting terdistribusi untuk menyamarkan jejak dan melewati deteksi otomatis.
Tabel Indikator Serangan
| Indicator Type | Value |
|---|---|
| ASN (Primary) | AS200373 (3xK Tech GmbH) |
| ASN (Secondary) | AS208885 (Noyobzoda Faridduni Saidilhom) |
| JA4t Fingerprint 1 | 65495_2-4-8-1-3_65495_7 |
| JA4t Fingerprint 2 | 33280_2-4-8-1-3_65495_7 |
| Target URI | /global-protect/login.esp |
Dari sisi geografi, serangan paling banyak mengarah ke AS, Meksiko, dan Pakistan. Volume yang hampir seimbang mengindikasikan kalau para pelaku menargetkan wilayah bernilai tinggi, atau menggunakan daftar kredensial curian yang berasal dari berbagai sumber global.
Pola Serangan Mirip Kasus Fortinet dan Cisco
Kalau mengikuti catatan GreyNoise, pola seperti ini bukan hal baru. Mereka pernah mengamati hal serupa pada perangkat Fortinet, di mana lonjakan brute-force sering kali muncul sekitar enam minggu sebelum pengungkapan kerentanan baru. Pola itu pertama kali dicatat pada Juli 2025.
Palo Alto sendiri juga sudah mengalami dua gelombang serangan besar—pada April dan Oktober 2025—yang kemudian dikaitkan dengan kampanye terhadap perangkat Cisco dan Fortinet. Artinya, besar kemungkinan serangan kali ini adalah kelanjutan dari operasi yang jauh lebih luas.
Baca Juga : Apa itu Proxy Server: Pengertian, Fungsi, Manfaat, Jenis & Cara Kerjanya
Apa yang Harus Dilakukan Organisasi?
Dengan meningkatnya risiko terhadap akses jarak jauh, perusahaan disarankan untuk:
-
Audit seluruh portal GlobalProtect yang dapat diakses publik.
-
Aktifkan Multi-Factor Authentication (MFA) agar login tidak cukup hanya dengan password.
-
Pantau indikator serangan seperti dua fingerprint JA4t yang diberikan GreyNoise.
-
Perkuat konfigurasi VPN, termasuk membatasi akses login dan meninjau log aktivitas harian.
Di tengah ancaman ransomware dan aksi spionase yang makin canggih, gelombang serangan 2,3 juta sesi ini menjadi pengingat serius bahwa VPN tetap jadi salah satu target utama para hacker. Semakin cepat organisasi memperkuat sistemnya, semakin kecil kemungkinan mereka menjadi korban berikutnya.
