Meski nama besar Black Basta sempat redup pasca bocornya log internal mereka pada Februari lalu, bekas anggotanya kini kembali menunjukkan taring. Mereka tetap menggunakan taktik yang sudah terbukti ampuh—email bombing dan serangan phishing lewat Microsoft Teams—untuk menyusup ke jaringan target, kali ini dengan sentuhan baru: eksekusi skrip Python dan penggunaan layanan cloud sebagai perantara serangan.

Menurut laporan dari ReliaQuest yang dibagikan ke The Hacker News, para pelaku kini memanfaatkan cURL untuk mengunduh dan menjalankan payload berbahaya langsung dari jarak jauh. Serangan ini bukan sekadar pengulangan, melainkan evolusi dari metode Black Basta yang telah terbukti berbahaya.

ReliaQuest mencatat bahwa setengah dari serangan phishing Teams yang terjadi antara Februari hingga Mei 2025 berasal dari domain onmicrosoft[.]com. Sementara itu, 42% serangan lainnya memanfaatkan domain yang telah dibajak sebelumnya—strategi yang lebih tersembunyi dan membuat trafik jahat tampak seperti komunikasi sah.

Yang paling mengkhawatirkan, serangan terbaru menyasar sektor keuangan, asuransi, hingga konstruksi, dengan menyamar sebagai petugas helpdesk yang "ramah", padahal tujuannya mencuri kredensial pengguna.

Meskipun situs kebocoran data milik Black Basta sudah ditutup, taktik mereka masih terus digunakan. Indikasinya? Log yang bocor menunjukkan pemimpin Black Basta, Trump, mengirimkan pembayaran $500–600 ribu ke grup ransomware-as-a-service (RaaS) bernama CACTUS.

Namun, CACTUS juga terlihat ‘adem-ayem’ sejak Maret 2025—tidak ada korban baru yang diumumkan. Dugaan lain mengarah ke BlackLock, grup baru yang dikabarkan menjalin aliansi dengan kartel siber DragonForce.

Setelah berhasil masuk lewat phishing Teams, penyerang melanjutkan dengan menginisiasi sesi jarak jauh melalui Quick Assist atau AnyDesk, mengunduh skrip Python dari server luar, lalu mengaktifkan komunikasi command-and-control (C2) untuk kendali penuh atas sistem korban.

Menurut ReliaQuest, penggunaan skrip Python seperti ini kemungkinan besar akan makin sering digunakan dalam kampanye phishing Teams ke depan. Serangan gaya Black Basta ini bahkan diadopsi oleh kelompok ransomware BlackSuit, memperkuat dugaan bahwa mereka telah menyerap mantan anggota Black Basta atau setidaknya meniru metode mereka.

RAT Berbasis Java & Akses Lewat Google Drive
Rapid7 mencatat bahwa para pelaku menggunakan RAT (Remote Access Trojan) berbasis Java yang kini menyembunyikan perintah lewat layanan cloud seperti Google Drive dan Microsoft OneDrive. Tak hanya menyusup diam-diam, RAT ini juga bisa:

Serangan siber tidak datang dari satu arah saja:

Menurut Quorum Cyber, RAT menjadi senjata andalan penjahat siber karena memberikan kontrol jarak jauh penuh: dari memata-matai, mencuri data, hingga menyebarkan malware lain.