Peretas Klaim Bobol Resecurity, Perusahaan Tegaskan Sistem yang Diakses Hanya Honeypot

Sekelompok pelaku ancaman yang mengatasnamakan diri sebagai Scattered Lapsus$ Hunters (SLH) mengklaim telah membobol sistem perusahaan keamanan siber Resecurity dan mencuri berbagai data internal. Namun, Resecurity membantah klaim tersebut dan menyatakan bahwa pelaku hanya mengakses sebuah honeypot—sistem umpan yang sengaja dibuat berisi data palsu untuk memantau aktivitas peretas.

Klaim peretasan itu dipublikasikan melalui Telegram, disertai sejumlah tangkapan layar yang disebut-sebut berasal dari sistem internal Resecurity. Para pelaku mengaku memperoleh akses penuh, termasuk data karyawan, komunikasi internal, laporan intelijen ancaman, serta daftar klien lengkap. Sebagai bukti, mereka menyertakan gambar yang tampak menampilkan percakapan internal melalui platform kolaborasi, termasuk komunikasi dengan pihak eksternal terkait konten berbahaya.

Kelompok tersebut menyatakan aksi ini sebagai bentuk pembalasan atas dugaan upaya rekayasa sosial yang dilakukan Resecurity untuk mengumpulkan informasi mengenai operasi mereka. Para pelaku juga menuding adanya penyamaran sebagai calon pembeli data dalam transaksi basis data sistem keuangan yang diklaim berasal dari Vietnam.

Namun, setelah laporan awal dipublikasikan, juru bicara ShinyHunters—kelompok yang kerap dikaitkan dengan SLH—menegaskan bahwa mereka tidak terlibat dalam aktivitas ini. Pernyataan tersebut mendorong pembaruan informasi bahwa klaim peretasan tidak melibatkan ShinyHunters.

Di sisi lain, Resecurity menjelaskan bahwa sistem yang ditampilkan para pelaku bukanlah infrastruktur produksi. Perusahaan mengungkap telah mendeteksi aktivitas pengintaian terhadap sistem yang terekspos ke publik sejak 21 November 2025. Tim respons insiden dan forensik digital Resecurity mencatat indikator awal pengintaian serta sejumlah alamat IP yang diduga terkait pelaku, termasuk yang berasal dari Mesir dan layanan VPN komersial.

Sebagai langkah taktis, Resecurity kemudian menempatkan sebuah akun honeypot dalam lingkungan terisolasi. Lingkungan ini dirancang agar pelaku dapat masuk dan berinteraksi dengan data sintetis—mulai dari informasi karyawan, pelanggan, hingga transaksi pembayaran—yang seluruhnya dipantau secara ketat. Data palsu tersebut disusun agar menyerupai kondisi bisnis nyata, termasuk puluhan ribu catatan konsumen sintetis dan ratusan ribu transaksi pembayaran berbasis format API resmi.

Menurut Resecurity, pada Desember pelaku mencoba mengotomatiskan proses pengambilan data, menghasilkan ratusan ribu permintaan dalam rentang waktu singkat dengan memanfaatkan jaringan proxy residensial. Selama periode ini, perusahaan mengumpulkan telemetri rinci terkait taktik, teknik, dan infrastruktur yang digunakan.

Resecurity juga menyebutkan bahwa kegagalan koneksi proxy sempat mengekspos alamat IP yang terkonfirmasi, yang kemudian dilaporkan kepada aparat penegak hukum. Setelah menambahkan set data palsu tambahan untuk memperdalam analisis, perusahaan mengklaim menemukan lebih banyak kesalahan operasional dari pihak pelaku, sehingga membantu mempersempit pemetaan infrastruktur serangan. Informasi tersebut dilaporkan kepada mitra penegak hukum internasional, yang selanjutnya mengajukan permintaan hukum terkait aktivitas pelaku.

Hingga laporan ini disusun, pihak yang mengklaim peretasan belum memberikan bukti tambahan selain unggahan lanjutan di Telegram yang menyatakan akan merilis informasi lebih lanjut. Resecurity menegaskan bahwa tidak ada data produksi yang terekspos dan seluruh aktivitas yang ditampilkan berasal dari honeypot yang memang dirancang untuk mempelajari perilaku penyerang.