Scattered Spider (juga dikenal dengan nama UNC3944, Storm-0875, Octo Tempest, Scatter Swine, Muddled Libra — dan beberapa lainnya) adalah kelompok kriminal siber yang sudah aktif sejak sekitar tahun 2022. Kelompok ini terdiri dari pelaku muda, kebanyakan remaja atau dewasa muda dari negara-negara berbahasa Inggris seperti AS dan Inggris, dan sering kali dianggap sebagai bagian dari jaringan kriminal yang lebih besar yang dikenal sebagai “the Com”.

Taktik dan Teknik Serangan (TTP)

• Rekayasa Sosial dan Teknik MFA
  Scattered Spider sangat mahir dalam manipulasi manusia: phishing lewat SMS/email/vishing, SIM swapping, dan “push bombing” (SPAM MFA) untuk mencuri kredensial dan melewati autentikasi multi-faktor (MFA).
• Menyusup melalui Help Desk
  Taktik khas mereka: berpura-pura sebagai staf TI atau help desk untuk meyakinkan karyawan agar membocorkan akses, me-reset password, atau memindahkan token MFA ke perangkat kontrol mereka.
• Eksploitasi Infrastruktur dan Lingkungan Cloud
  Setelah berhasil masuk, mereka menggunakan alat seperti PowerShell, WMIC, Rundll32, dan RMM tools (seperti AnyDesk, TeamViewer, ScreenConnect, Splashtop, Ngrok, FleetDeck) untuk bergerak lateral dan bertahan. Mereka juga melakukan eksplorasi internal terhadap platform seperti SharePoint, Jira, Confluence, Slack, serta memanfaatkan layanan cloud seperti AWS dan GCP.
• Ekstorsi dan Ransomware
  Scattered Spider sering kali bekerja sama dengan grup ransomware seperti ALPHV/BlackCat atau DragonForce. Mereka menerapkan strategi double/triple extortion: mencuri data, mengenkripsi sistem, serta mengancam pembocoran atau serangan lanjutan jika tidak menerima tebusan.

Sasaran dan Dampak

• Kelompok ini telah menyerang perusahaan besar seperti Caesars Entertainment dan MGM Resorts, meski ada perdebatan soal atribusi penuh pada beberapa kasus.
• Tren terbaru menunjukkan mereka memperluas target ke sektor ritel (UK), asuransi, dan penerbangan (termasuk maskapai seperti Qantas, serta penyedia layanan terkait).
• Meskipun beberapa anggota telah ditangkap (malah sempat menyebabkan penurunan aktivitas), teknik mereka sempat menginspirasi kelompok lain untuk mengadopsinya.

Kenapa Mereka Sangat Berbahaya?

• Struktur mereka tidak terpusat — bersifat longgar dan mudah digantikan — membuatnya sulit diberantas sepenuhnya.
• Mereka mengeksploitasi titik lemah organisasi: help desk dan MFA sering kali dianggap sebagai sistem internal yang aman, padahal ini menjadi celah utama

Rekomendasi Mitigasi

1. Terapkan MFA anti-phishing seperti token hardware atau number-matching, dan hapus MFA berbasis SMS/voice.
2. Perkuat keamanan help desk: gunakan verifikasi berlapis dan batasi akses internal.
3. Audit dan pantau aktivitas dari MSP/BPO/vendor pihak ketiga.
4. Identifikasi dan tanggulangi domain phishing; laporkan dengan cepat untuk pemblokiran dan penyelidikan lanjutan.
5. Tingkatkan deteksi dan tanggapan terhadap penggunaan alat remote yang sah sebagai backdoor.

Kesimpulan

Scattered Spider menunjukkan bahwa ancaman siber modern bukan hanya soal teknik hacking canggih, tetapi juga kemampuan mengeksploitasi kelemahan manusia dan prosedur internal. Organisasi perlu memperkuat seluruh lapisan keamanan — dari MFA dan help desk hingga kolaborasi dengan penyedia layanan pihak ketiga — untuk menghindari jebakan yang mereka pasang.