Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

// by retasan-news July 18, 2026 7 min read
Ilustrasi teknik Shadow Token via Remote Debug untuk hijack email OAuth

Kaspersky mengungkap teknik serangan baru bernama Shadow Token via Remote Debug (STRD) yang digunakan oleh ToddyCat APT untuk membangun akses persisten ke mailbox korban dan resource lain di Google Workspace. Teknik ini memungkinkan penyerang memperoleh akses email tanpa mencuri password atau cookie — dan dengan penyesuaian kecil, pendekatan yang sama berpotensi menargetkan layanan lain yang memberikan akses pihak ketiga melalui autentikasi OAuth 2.0.

APA YANG TERJADI?

Ketika menargetkan sebuah organisasi untuk mencuri informasi, mempertahankan profil rendah sangat kritis bagi penyerang. Mereka umumnya mengincar persistence jangka panjang, yang membutuhkan penghindaran terhadap security alert sambil mempertahankan akses jika terdeteksi. Malware seperti infostealers atau tool RMM (Remote Monitoring and Management) yang tampak legit gagal pada requirement pertama: penggunaannya memicu EDR dan menghasilkan events mencurigakan di konsol SIEM. Mengandalkan credential yang dicuri bertentangan dengan requirement kedua: segera setelah tim keamanan mencurigai kompromi, password dapat diubah segera — mengakhiri akses. Cookie theft menghadapi tantangan berbeda: banyak layanan online sekarang mengkorelasikan karakteristik device dengan session cookie yang diharapkan dan memblokir akses jika cookie digunakan pada device yang tidak dikenal.

Untuk mengatasi tantangan persistence ini, ToddyCat APT — yang fokus utamanya adalah spionase — mengembangkan teknik baru. Kaspersky menemukan metode ini selama investigasi incident dan menamainya STRD. Teknik ini memungkinkan penyerang membangun akses persisten yang andal ke mailbox korban di Google Workspace. Setelah akses OAuth diperoleh, malware dapat menghentikan operasinya dan bahkan menghapus dirinya sendiri dari sistem. Adversary mempertahankan akses langsung ke mailbox menggunakan OAuth token yang diperoleh — dan mereka tidak memerlukan koneksi ke endpoint korban atau ke jaringan perusahaan untuk itu.

Di balik serangan ini adalah tool bernama Umbrij yang dikembangkan oleh ToddyCat. Umbrij pertama-tama mengidentifikasi browser yang terpasang di sistem dan menemukan folder yang menyimpan user profile aktif — menargetkan Chrome dan Edge. Umbrij kemudian menyalin seluruh folder user profile ke direktori berbeda, meluncurkan instance browser dengan profile yang diduplikasi via command line. Karena profile duplikasi berisi session cookies pengguna, website dengan saved credentials tidak akan meminta re-authentication. Browser diluncurkan dalam dedicated debugging mode (headless) yang tidak menampilkan window atau UI di layar — dikontrol melalui debugging port menggunakan DevTools protocol.

DETAIL TEKNIS

Umbrij menggunakan Puppeteer, sebuah automation library legitimitas, untuk mengontrol browser headless. Setelah memverifikasi debugging browser instance berhasil diluncurkan, Umbrij membuka Google Workspace OAuth screen yang legit di dalamnya. Request yang dikirim ke Google direkayasa untuk melewati security checks tambahan sambil meminta akses privileges maksimal. Untuk application ID — identitas yang seharusnya meminta permissions ekstensif ini — malware menyamar sebagai salah satu dari dua tool legit: Google Workspace Migration for Microsoft Outlook (GWMMO) atau Google Workspace Sync for Microsoft Outlook (GWSMO).

Ketika Google membuka window di dalam headless browser, Umbrij menggunakan debugging tools untuk secara programatik mengklik nama akun perusahaan dan tombol konfirmasi. Akibatnya, Google menghasilkan authorization code untuk app tersebut. Umbrij mengekstrak dan menyimpan code ini, kemudian meneruskannya ke C2 server penyerang. Akhirnya, beroperasi sepenuhnya dalam infrastruktur mereka sendiri (bukan di komputer korban), penyerang menukar authorization code ini untuk OAuth access token. Token tunggal ini adalah semua yang mereka butuhkan untuk mempertahankan akses jangka panjang tanpa batasan ke mailbox.

Yang membuat teknik ini sangat berbahaya adalah: (1) tidak memerlukan interaksi pengguna — OAuth authorization dilakukan secara otomatis, (2) tidak ada aktivitas visual di layar — browser berjalan dalam headless mode, (3) ke cloud environment, aktivitas ini tampak seperti user yang secara legit memberikan izin akses email ke aplikasi pihak ketiga, (4) token OAuth dapat bertahan meskipun password di-reset tergantung konfigurasi Google Workspace, dan (5) setelah token diperoleh, akses tidak bergantung pada kompromi endpoint atau jaringan perusahaan.

DAMPAK TERHADAP INDONESIA

Banyak organisasi di Indonesia, termasuk startup teknologi, perusahaan multinasional, dan instansi pemerintah, menggunakan Google Workspace sebagai platform email dan kolaborasi utama. Teknik STRD sangat relevan karena memanfaatkan fitur OAuth yang merupakan bagian integral dari ekosistem Google Workspace. Jika mailbox pejabat atau administrator dikompromikan melalui teknik ini, dampaknya sangat luas — dari pencurian informasi sensitif hingga manipulasi komunikasi bisnis.

ToddyCat APT, yang dikaitkan oleh Kaspersky dengan operasi spionase, telah aktif menargetkan organisasi di berbagai negara. Meskipun kampanye sebelumnya terdeteksi di Asia Tenggara dan Eropa, potensi penyebaran ke Indonesia sangat nyata mengingat posisi geopolitik Indonesia dan penggunaan Google Workspace yang meluas. Data yang dilindungi UU PDP — termasuk email korporat, dokumen sensitif, dan komunikasi internal — menjadi rentan terhadap pencurian jangka panjang tanpa deteksi.

Yang paling mengkhawatirkan adalah ketahanan teknik ini terhadap password reset — salah satu langkah incident response standar. Jika tim keamanan mereset password setelah mencurigai kompromi tetapi tidak mencabut OAuth tokens, akses penyerang tetap aktif. Banyak organisasi Indonesia mungkin tidak menyertakan pencabutan OAuth tokens sebagai bagian dari incident response playbook mereka, menciptakan blind spot keamanan yang signifikan.

REKOMENDASI MITIGASI

Untuk Google Workspace account yang dikompromikan, langkah-langkah IR harus mencakup: (1) Reset password user yang terdampak, (2) Terminasi semua web sessions aktif untuk user tersebut, (3) Cabut semua OAuth tokens dan izin aplikasi pihak ketiga, (4) Tinjau dan hapus akses yang diberikan melalui legacy App Passwords. Langkah 3 adalah yang paling sering terlewatkan dan paling kritis dalam konteks STRD.

Untuk pencegahan, implementasikan kebijakan berikut: (1) Implementasikan DeveloperToolsAvailability group policy untuk Chrome dan Edge — batasi ability pengguna standar meluncurkan browser dalam debugging mode. Fitur ini ditujukan eksklusif untuk developer website dan web apps. (2) Konfigurasi monitoring di SIEM/XDR untuk melacak peluncuran browser instances dengan debugging port aktif — event ini merupakan indicator kuat untuk teknik serangan spesifik ini. (3) Audit berkala terhadap OAuth permissions yang dikeluarkan, cabut hak akses yang tidak dapat dipertanggungjawabkan, dan batasi kemampuan yang mengizinkan permission grants berlebihan atau tidak sah.

Implementasikan Google Workspace security best practices: aktifkan Advanced Protection Program untuk akun privileged, gunakan Security Key sebagai phishing-resistant MFA, batasi OAuth app installations hanya ke admin-approved apps, dan aktifkan alert untuk OAuth app authorizations dari new devices atau locations. Konfigurasi session length yang ketat untuk OAuth tokens dan implementasikan token refresh policies yang membatasi lifetime token.

Analisa Retasan

Shadow Token via Remote Debug (STRD) menandai evolusi signifikan dalam teknik persistence APT. Kaspersky mengidentifikasi bahwa ToddyCat secara eksplisit merancang teknik ini untuk mengatasi kelemahan infostealers dan cookie theft: infostealers memicu EDR alerts, sementara cookie theft menghadapi device fingerprinting dan cookie theft protections di Chromium-based browsers. STRD mengatasi kedua masalah ini dengan menggunakan browser yang sah (Chrome/Edge) dalam mode headless, menghasilkan OAuth token yang secara fundamental berbeda dari cookie — OAuth tokens tidak terikat ke device fingerprint dan dapat bertahan meskipun password di-reset. Ini adalah pergeseran paradigm dari credential theft ke authorization abuse. Alih-alih mencuri apa yang dibutuhkan user untuk login (password/cookie), ToddyCat mencuri apa yang dibutuhkan aplikasi untuk mengakses data user (OAuth token). Gap ini sangat fundamental: organisasi berinvestasi besar dalam MFA dan password management, tetapi banyak yang belum mengimplementasikan governance yang memadai terhadap OAuth tokens.

Teknik Umbrij — menyalin entire browser profile, meluncurkan headless browser dengan session cookies, dan mengontrol via DevTools protocol — sangat elegan dalam kesederhanaannya. Ini menyalahgunakan fitur yang dirancang untuk debugging web development (Chrome DevTools Protocol) sebagai vector serangan. Yang membuat ini sangat sulit dideteksi adalah: (1) browser instance menggunakan profile yang sah dengan session cookies yang valid, (2) aktivitas OAuth terlihat legit dari sudut pandang Google Workspace, (3) tidak ada binary berbahaya yang persist di sistem setelah token diperoleh, dan (4) komunikasi C2 berhenti karena akses sudah melalui OAuth token langsung ke Google API. Untuk SOC yang terbiasa memantau network traffic ke C2 server, teknik ini menghilangkan kebutuhan akan persistent C2 connection — sebuah pergeseran fundamental dalam model deteksi.

Dari perspektif Indonesia, STRD adalah pengingat bahwa pertahanan terhadap APT tidak bisa hanya berfokus pada malware detection. ToddyCat tidak membutuhkan malware canggih yang persist di sistem — mereka hanya membutuhkan satu sesi akses untuk membuat token OAuth yang memberikan akses jangka panjang. Organisasi Indonesia yang menggunakan Google Workspace harus mengambil langkah konkret: (1) aktifkan Google Workspace audit logs dan monitor OAuth app installations, (2) implementasikan Chrome/Edge group policy untuk membatasi debugging mode, (3) audit OAuth permissions secara berkala — terutama aplikasi yang meminta akses email penuh, (4) pastikan incident response playbook mencakup pencabutan OAuth tokens, bukan hanya password reset. BSSN dan Kementerian Kominfo perlu mengeluarkan guidance spesifik mengenai OAuth security untuk organisasi yang menggunakan Google Workspace, karena ini adalah vector serangan yang belum dipahami luas oleh tim keamanan Indonesia.

🔗 Sumber: Kaspersky Blog — Email Hijacking via OAuth: Shadow Token via Remote Debug

Tags: APT Credential Theft Email Hijacking Google Workspace Kaspersky OAuth Remote Debug Shadow Token ToddyCat Umbrij
Share:

retasan-news

← Previous Starland RAT: Malware Python Curi Kredensial Browser dan Pindai 40+ Crypto Wallets

Artikel Terkait

LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

July 18, 2026
wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

July 18, 2026
GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.