Kelompok Storm-2657 membajak akun karyawan untuk mencuri gaji melalui serangan phishing terhadap sistem Workday dan SSO universitas
9 Oktober 2025 — Tim Microsoft Threat Intelligence mengungkap kampanye siber baru yang menargetkan universitas di Amerika Serikat, di mana kelompok kriminal yang dilacak sebagai Storm-2657 menipu karyawan agar menyerahkan kredensial sistem penggajian mereka. Serangan yang dijuluki “Payroll Pirate” ini telah berlangsung sejak Maret 2025 dan bertujuan untuk mencuri pembayaran gaji dengan mengalihkan dana ke rekening penyerang.
Menurut laporan Microsoft, para pelaku menargetkan akun di Workday, platform Software-as-a-Service (SaaS) untuk manajemen SDM dan penggajian, meskipun platform serupa juga bisa berisiko.
“Kami mengamati 11 akun yang berhasil dikompromi di tiga universitas, yang kemudian digunakan untuk mengirim email phishing ke hampir 6.000 akun di 25 universitas,” tulis Microsoft.
Microsoft menegaskan bahwa serangan ini tidak mengeksploitasi kerentanan pada Workday, melainkan memanfaatkan ketiadaan autentikasi multifaktor (MFA) atau penggunaan MFA yang tidak tahan phishing.
Metode Serangan: Phishing Bertema Kampus
Para pelaku menggunakan beragam tema email phishing yang disesuaikan dengan konteks universitas target, misalnya:
- Peringatan wabah penyakit di kampus,
- Laporan dugaan pelanggaran oleh dosen,
- Informasi kompensasi atau tunjangan,
- Email berpura-pura berasal dari rektor universitas,
- Dokumen palsu yang diklaim dari HR.
Melalui tautan adversary-in-the-middle (AITM), korban diarahkan ke situs palsu yang mencuri kredensial dan kode MFA mereka. Setelah berhasil masuk ke akun Exchange Online, penyerang:
- Membuat aturan kotak masuk untuk menghapus email notifikasi Workday,
- Mengubah konfigurasi penggajian agar gaji ditransfer ke rekening mereka sendiri,
- Mengakses profil Workday melalui Single Sign-On (SSO).
Untuk memperkuat kendali, beberapa pelaku juga mendaftarkan nomor telepon mereka sendiri sebagai perangkat MFA di profil Workday atau Duo MFA, memungkinkan mereka menyetujui tindakan berbahaya di masa mendatang tanpa terdeteksi.
Dampak dan Upaya Mitigasi
Microsoft telah menghubungi universitas yang terdampak dan memberikan panduan mitigasi, termasuk langkah investigasi dan penerapan phishing-resistant MFA seperti Windows Hello for Business atau FIDO2 security key.
Serangan seperti ini merupakan variasi dari Business Email Compromise (BEC) yang menargetkan entitas dengan transaksi transfer dana rutin. Menurut data FBI Internet Crime Complaint Center (IC3), sepanjang 2024 terdapat lebih dari 21.000 laporan BEC dengan kerugian mencapai USD 2,7 miliar, menjadikannya kejahatan siber paling merugikan kedua setelah penipuan investasi.
Sumber: Microsoft Threat Intelligence