Serangan Siber Notepad++ Terungkap Lebih Luas, Targetkan Lembaga Pemerintah

Dampak pembajakan aplikasi Notepad++ ternyata jauh lebih luas dan berlangsung lebih lama dari perkiraan awal. Temuan terbaru menunjukkan serangan ini bukan insiden tunggal, melainkan bagian dari operasi siber berlapis yang menargetkan berbagai sektor strategis di sejumlah negara.

Berdasarkan analisis Kaspersky Global Research and Analysis Team (GReAT), serangan kompromi rantai pasokan yang melibatkan Notepad++ menyasar organisasi pemerintahan di Filipina, lembaga keuangan di El Salvador, penyedia layanan teknologi informasi di Vietnam, serta sejumlah individu di tiga negara berbeda. Menurut tim peneliti, kampanye ini memanfaatkan setidaknya tiga rantai infeksi yang berbeda, dua di antaranya belum pernah terungkap ke publik sebelumnya.

Serangan tersebut diketahui berlangsung sejak Juli hingga Oktober 2025. Dalam periode itu, para penyerang secara rutin mengganti malware, infrastruktur command and control, serta metode distribusi hampir setiap bulan. Berdasarkan data dari Kaspersky, rantai serangan yang sempat dilaporkan secara terbuka hanya merupakan fase akhir dari operasi yang jauh lebih panjang dan kompleks.

Pengembang Notepad++ baru mengungkap pada awal Februari 2026 bahwa sistem pembaruan mereka telah dikompromikan akibat insiden pada penyedia hosting. Sebelumnya, laporan publik hanya menyoroti aktivitas malware yang terdeteksi pada Oktober 2025. Akibatnya, banyak organisasi tidak menyadari adanya indikator kompromi lain yang telah digunakan sejak Juli hingga September.

Infrastruktur Serangan Terus Berubah

Kaspersky menjelaskan setiap rantai serangan menggunakan alamat IP berbahaya, domain, metode eksekusi, serta muatan malware yang berbeda-beda. Strategi ini membuat deteksi menjadi lebih sulit dan meningkatkan risiko lolos dari pemantauan keamanan konvensional. Meski demikian, solusi keamanan Kaspersky disebut berhasil memblokir seluruh serangan yang teridentifikasi saat berlangsung.

Menurut Georgy Kucherin, peneliti keamanan senior di Kaspersky GReAT, organisasi tidak boleh merasa aman hanya karena tidak menemukan indikator kompromi yang sudah beredar luas.

“Para ahli yang memeriksa sistem mereka terhadap IoC yang diketahui publik dan tidak menemukan apa pun tidak boleh berasumsi bahwa mereka aman,” kata Georgy Kucherin, peneliti keamanan senior Kaspersky GReAT.

Ia menegaskan bahwa infrastruktur serangan pada periode Juli hingga September sepenuhnya berbeda, mulai dari IP, domain, hingga hash file. Dengan rotasi alat yang sangat cepat, masih ada kemungkinan rantai serangan lain yang belum teridentifikasi.

Untuk membantu mitigasi risiko, Kaspersky telah menerbitkan daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL command and control, serta delapan hash file berbahaya yang sebelumnya belum pernah dilaporkan. Informasi teknis mendalam disediakan untuk membantu organisasi meningkatkan perlindungan sistem mereka.

Referensi:
detikINET