• (021) 53660861
  • extrahop@ilogoindonesia.id
  • AKR Tower – 9th Floor Jl. Panjang no. 5
  • February 24, 2026

Mengungkap Kampanye BRICKSTORM: Strategi UNC5221 dalam Spionase Infrastruktur Virtual

Laporan terbaru dari ExtraHop menyoroti ancaman dari kelompok peretas yang terafiliasi dengan negara (China-nexus) yang dikenal sebagai UNC5221 (juga dilacak sebagai UTA0178 atau Red Dev 61). Antara akhir 2025 hingga awal 2026, kelompok ini meluncurkan kampanye BRICKSTORM yang secara spesifik menargetkan lingkungan virtualisasi VMware vSphere dan infrastruktur edge untuk mencuri “kunci kerajaan” (keys to the kingdom) organisasi.

Artikel ini membahas anatomi serangan UNC5221 dan bagaimana teknologi Network Detection and Response (NDR) menjadi krusial dalam mendeteksi pergerakan mereka yang sangat rahasia.

1. Anatomi Serangan: Dari Perangkat Edge ke Jantung Identitas

UNC5221 menggunakan strategi terkoordinasi yang melibatkan dua alat utama: BRICKSTEAL dan BRICKSTORM.

  • Akses Awal (Initial Access): Penyerang mengeksploitasi kerentanan pada perangkat edge seperti Ivanti, Citrix, dan Fortinet. Lokasi ini sering kali menjadi titik buta karena tidak dapat dipasangi agen keamanan tradisional (seperti EDR).

  • Pencurian Kredensial (BRICKSTEAL): Begitu berada di dalam jaringan, mereka bergerak menuju server VMware vCenter dan menginstal BRICKSTEAL. Alat ini adalah digital skimmer yang menangkap kredensial administratif dalam teks biasa (plain text) saat administrator melakukan login.

  • Penguasaan Domain (Cloning): Dengan kredensial admin tersebut, penyerang melakukan kloning terhadap server Domain Controller. Hal ini memungkinkan mereka mencuri seluruh basis data kata sandi organisasi secara offline tanpa memicu alarm pada alat pemantau live.

2. Invisibility & Persistence: Mengapa BRICKSTORM Sulit Dihapus?

UNC5221 mengutamakan metode Living off the Land (LotL), yaitu menggunakan alat administratif bawaan sistem agar aktivitas mereka terlihat seperti kegiatan sah.

  • Tunneling Tersembunyi: Malware BRICKSTORM menyembunyikan komunikasi Command and Control (C2) melalui protokol DNS over HTTPS (DoH) dan WebSockets. Hal ini membuat lalu lintas jahat menyatu dengan lalu lintas web normal dan melewati filter tradisional.

  • Kemampuan Self-Healing: BRICKSTORM memiliki logika pemantauan mandiri. Jika prosesnya dihentikan atau dihapus, ia akan secara otomatis menginstal ulang dirinya sendiri menggunakan salinan cadangan yang disembunyikan dengan nama layanan sistem yang sah (seperti vmware-sphere).

  • Kebal terhadap Reboot: Karena mekanisme persistensinya yang canggih, sekadar melakukan reboot server tidak akan menghilangkan ancaman ini. Dibutuhkan pembersihan forensik yang mendalam atau pembangunan ulang sistem secara total.

3. Strategi Pertahanan ExtraHop: Menutup Celah Visibilitas

ExtraHop menekankan bahwa pertahanan di lapisan virtualisasi membutuhkan visibilitas yang tidak dapat diberikan oleh log atau agen endpoint saja.

A. Visibilitas Jaringan Tanpa Agen (Agentless Visibility)

Platform ExtraHop RevealX memantau semua lalu lintas jaringan secara pasif. Ini memungkinkan deteksi aktivitas UNC5221 pada infrastruktur edge (router/firewall) di mana alat keamanan lain tidak dapat beroperasi.

B. Dekripsi Protokol Identitas

RevealX memiliki kemampuan unik untuk mendekripsi protokol Active Directory. Ini memungkinkan tim keamanan melihat pergerakan tersembunyi penyerang menuju pusat identitas kunci seperti ADFS yang sering kali terlewatkan oleh alat lain.

C. Deteksi Anomali Berbasis Machine Learning

Karena penyerang menggunakan kredensial sah, deteksi tidak bisa mengandalkan “tanda tangan” virus. ExtraHop menggunakan machine learning untuk mengidentifikasi penyimpangan kecil dalam perilaku, seperti waktu login yang tidak biasa atau penggunaan protokol yang abnormal.

Amankan Infrastruktur Virtual Anda Bersama iLogo Indonesia

Laporan dari ExtraHop Indonesia menegaskan bahwa kampanye BRICKSTORM adalah pengingat bahwa infrastruktur virtualisasi adalah target bernilai tinggi. Di Indonesia, di mana banyak perusahaan besar dan instansi pemerintah bergantung pada VMware dan layanan edge, ancaman dari kelompok seperti UNC5221 harus ditanggapi dengan serius.

iLogo Indonesia hadir sebagai partner strategis terbaik Anda dalam menghadirkan solusi Network Detection and Response (NDR) terdepan dari ExtraHop. Sebagai pakar infrastruktur IT di Indonesia, kami siap membantu organisasi Anda membangun ketahanan terhadap spionase siber melalui:

  1. Visibilitas Attack Surface Secara Real-Time: Memberikan pandangan menyeluruh terhadap aset edge dan lingkungan virtualisasi Anda tanpa perlu menginstal agen.

  2. Deteksi Pergerakan Lateral: Menggunakan teknologi RevealX untuk mengendus upaya pencurian kredensial dan kloning server sebelum data sensitif keluar dari jaringan.

  3. Analisis Protokol Terdekripsi: Memastikan komunikasi rahasia penyerang melalui DoH atau WebSockets dapat terdeteksi dan dihentikan.

  4. Kepatuhan terhadap UU PDP: Menjamin bahwa pusat data dan identitas pelanggan Anda terlindungi dari akses ilegal, selaras dengan standar perlindungan data nasional.

Jangan biarkan infrastruktur virtual Anda menjadi “pintu terbuka” bagi penyerang global. Jadikan iLogo Indonesia sebagai mitra strategis IT Anda untuk mengimplementasikan solusi ExtraHop dan ambil kendali penuh atas keamanan jaringan Anda.

Ingin memastikan jaringan virtualisasi Anda aman dari kampanye BRICKSTORM? Hubungi iLogo Indonesia sekarang untuk konsultasi dan penilaian risiko NDR ExtraHop!

Extrahop Indonesia adalah bagian dari PT. iLogo Infralogy Indonesia yang merupakan penyedia layanan (vendor) Infrastruktur IT dan Cybersecurity terbaik di Indonesia.

PT iLogo Indonesia

  • (021) 53660861
  • AKR Tower – 9th Floor Jl. Panjang no. 5, Kebon Jeruk
  • extrahop@ilogoindonesia.id