Google mengungkap bahwa para peretas kini semakin sering memanfaatkan kerentanan perangkat lunak pihak ketiga untuk mendapatkan akses awal ke lingkungan cloud. Tren ini menunjukkan perubahan signifikan dalam metode serangan, di mana eksploitasi celah keamanan kini lebih dominan dibandingkan penggunaan kredensial yang lemah.
Dalam laporan terbaru mengenai tren ancaman terhadap pengguna layanan cloud, Google mencatat bahwa waktu yang dibutuhkan penyerang untuk memanfaatkan kerentanan juga semakin singkat. Jika sebelumnya proses eksploitasi bisa memakan waktu berminggu-minggu, kini serangan dapat terjadi hanya dalam hitungan hari.
Eksploitasi Bug Jadi Jalur Serangan Utama
Berdasarkan analisis insiden keamanan yang diselidiki, eksploitasi kerentanan perangkat lunak menjadi metode akses awal paling umum dalam serangan cloud.
Sebanyak 44,5% intrusi yang dianalisis dimulai dari eksploitasi bug, sementara 27% lainnya berasal dari penyalahgunaan kredensial yang dicuri atau disusupi.
Jenis kerentanan yang paling sering dimanfaatkan adalah remote code execution (RCE). Beberapa contoh yang menonjol antara lain celah React2Shell (CVE-2025-55182) serta kerentanan XWiki (CVE-2025-24893) yang digunakan dalam aktivitas botnet RondoDox.
Menurut Google, perubahan strategi ini kemungkinan dipicu oleh meningkatnya perlindungan terhadap akun dan kredensial pengguna.
Pendekatan keamanan “secure-by-default” serta peningkatan perlindungan kredensial membuat jalur serangan tradisional menjadi lebih sulit dimanfaatkan oleh pelaku ancaman.
Waktu Eksploitasi Semakin Singkat
Google juga menemukan bahwa jendela waktu antara pengungkapan kerentanan dan eksploitasi di dunia nyata kini sangat singkat.
Dalam beberapa kasus, penyerang sudah menanamkan cryptominer dalam waktu kurang dari 48 jam setelah kerentanan diumumkan. Hal ini menunjukkan bahwa pelaku ancaman sangat cepat dalam mempersenjatai celah keamanan baru dan memasukkannya ke dalam rantai serangan mereka.
Selain eksploitasi bug, aktor ancaman yang didukung negara maupun kelompok kriminal yang bermotif finansial juga masih memanfaatkan identitas yang telah dikompromikan. Metode yang sering digunakan antara lain phishing dan vishing dengan menyamar sebagai staf bantuan teknis atau help desk IT.
Fokus Serangan pada Pencurian Data
Dalam sebagian besar kasus yang dianalisis, tujuan utama penyerang adalah melakukan eksfiltrasi data secara diam-diam dalam jumlah besar tanpa langsung melakukan pemerasan.
Google juga menyoroti beberapa kampanye spionase siber yang dikaitkan dengan aktor ancaman dari Iran dan China. Dalam beberapa kasus, pelaku berhasil mempertahankan akses ke sistem korban selama lebih dari 18 bulan.
Salah satu contoh adalah kelompok ancaman yang terkait Iran yang menggunakan kredensial VPN curian dan malware MiniBike untuk mencuri hampir 1 terabyte data proprietary dari targetnya selama lebih dari dua tahun.
Sementara itu, aktor yang diduga didukung China menggunakan malware BrickStorm untuk mempertahankan akses ke server VMware vCenter milik korban selama setidaknya 18 bulan guna mencuri kode sumber.
Peretas Korea Utara dan Pencurian Kripto
Laporan Google juga mengungkap aktivitas aktor ancaman asal Korea Utara yang memanfaatkan lingkungan cloud untuk memperoleh keuntungan finansial.
Sekitar 3% dari intrusi yang dianalisis pada paruh kedua 2025 dikaitkan dengan pekerja IT Korea Utara yang menggunakan identitas palsu untuk mendapatkan pekerjaan dan menghasilkan dana bagi pemerintah mereka.
Kelompok ancaman lainnya berhasil mencuri jutaan dolar dalam bentuk cryptocurrency setelah menipu seorang pengembang agar mengunduh arsip berbahaya yang disamarkan sebagai proyek kolaborasi open-source.
Kode berbahaya dalam arsip tersebut memasang backdoor yang kemudian memungkinkan penyerang menjelajah jaringan perusahaan, memperoleh token akses dengan hak istimewa tinggi, dan akhirnya mencuri aset digital dari sistem yang menyimpan data pelanggan.
Penyalahgunaan OpenID Connect dan Serangan Rantai Pasok
Google juga mencatat serangan lain yang memanfaatkan paket npm berbahaya bernama QuietVault. Penyerang menggunakan token GitHub yang dicuri untuk membuat akun administrator baru di lingkungan cloud dengan memanfaatkan mekanisme kepercayaan OpenID Connect (OIDC) antara GitHub dan AWS.
Hanya dalam waktu tiga hari setelah kompromi awal, penyerang berhasil mendapatkan kunci API GitHub dan NPM, menyalahgunakan pipeline CI/CD untuk memperoleh kredensial AWS, mencuri data dari penyimpanan S3, dan bahkan menghapusnya dari lingkungan produksi.
Insiden tersebut terkait dengan serangan rantai pasok “s1ngularity” pada Agustus 2025 yang melibatkan paket npm yang disusupi pada sistem build open-source Nx.
Akibatnya, informasi sensitif dari lebih dari 2.000 akun dan 7.200 repositori bocor ke repositori GitHub publik.
Ancaman dari Orang Dalam Juga Meningkat
Selain ancaman eksternal, Google juga menyoroti meningkatnya kasus pencurian data oleh insider atau orang dalam.
Analisis terhadap 1.002 insiden pencurian data internal menunjukkan bahwa sebagian besar terjadi ketika pelaku masih bekerja di perusahaan.
Para pelaku kini semakin sering memanfaatkan layanan cloud seperti AWS, Google Cloud, Microsoft Azure, Google Drive, Apple iCloud, Dropbox, dan OneDrive untuk mengekspor data perusahaan.
Google memperkirakan bahwa layanan cloud akan segera menggantikan email sebagai metode utama untuk mengekstrak data secara ilegal.
Respons Otomatis Jadi Kebutuhan Mendesak
Para peneliti juga mencatat bahwa kecepatan serangan cloud saat ini sudah terlalu tinggi untuk ditangani hanya dengan respons manual.
Dalam beberapa kasus, payload berbahaya dapat dideploy hanya dalam waktu satu jam setelah sebuah instance cloud baru dibuat.
Karena itu, Google menekankan pentingnya penerapan sistem respons insiden otomatis agar organisasi dapat mendeteksi dan menghentikan serangan sebelum kerusakan yang lebih besar terjadi.
Ke depan, Google memperkirakan aktivitas ancaman terhadap layanan cloud akan meningkat, terutama karena faktor geopolitik serta berbagai peristiwa global besar seperti Piala Dunia FIFA dan pemilu paruh waktu di Amerika Serikat yang sering menjadi sasaran operasi siber.