Para peneliti keamanan siber telah mengungkapkan detail kampanye phishing yang melibatkan penyerang yang menyamar sebagai pesan sah yang dihasilkan Google dengan menyalahgunakan layanan Integrasi Aplikasi Google Cloud untuk mendistribusikan email.
Menurut Check Point, aktivitas ini memanfaatkan kepercayaan yang terkait dengan infrastruktur Google Cloud untuk mengirim pesan dari alamat email yang sah (“noreply-application-integration@google[.]com”) sehingga dapat melewati filter keamanan email tradisional dan memiliki peluang lebih besar untuk sampai ke kotak masuk pengguna.
“Email-email tersebut meniru pemberitahuan rutin perusahaan seperti peringatan pesan suara dan permintaan akses atau izin file, sehingga tampak normal dan dapat dipercaya bagi penerima,” kata perusahaan keamanan siber tersebut .
Para penyerang telah teramati mengirimkan 9.394 email phishing yang menargetkan sekitar 3.200 pelanggan selama periode 14 hari pada bulan Desember 2025, dengan organisasi yang terdampak berlokasi di AS, Asia-Pasifik, Eropa, Kanada, dan Amerika Latin.
Inti dari kampanye ini adalah penyalahgunaan tugas ” Kirim Email ” pada Integrasi Aplikasi, yang memungkinkan pengguna untuk mengirim pemberitahuan email khusus dari sebuah integrasi. Google mencatat dalam dokumentasi dukungannya bahwa hanya maksimal 30 penerima yang dapat ditambahkan ke tugas tersebut.
Fakta bahwa email-email ini dapat dikonfigurasi untuk dikirim ke alamat email mana pun menunjukkan kemampuan pelaku ancaman untuk menyalahgunakan kemampuan otomatisasi yang sah untuk keuntungan mereka dan mengirim email dari domain milik Google, secara efektif melewati pemeriksaan DMARC dan SPF .
“Untuk lebih meningkatkan kepercayaan, email-email tersebut mengikuti gaya dan struktur notifikasi Google dengan cermat, termasuk format dan bahasa yang familiar,” kata Check Point. “Isi email umumnya merujuk pada pesan suara atau klaim bahwa penerima telah diberikan akses ke file atau dokumen bersama, seperti akses ke file ‘Q4’, yang mendorong penerima untuk mengklik tautan yang disematkan dan mengambil tindakan segera.”
Rantai serangan ini merupakan alur pengalihan bertahap yang dimulai ketika penerima email mengklik tautan yang dihosting di storage.cloud.google.com, layanan Google Cloud tepercaya lainnya. Upaya ini dipandang sebagai upaya lain untuk menurunkan kecurigaan pengguna dan memberikan kesan legitimasi.
Tautan tersebut kemudian mengarahkan pengguna ke konten yang disajikan dari googleusercontent[.]com, menampilkan CAPTCHA palsu atau verifikasi berbasis gambar yang berfungsi sebagai penghalang dengan memblokir pemindai otomatis dan alat keamanan agar tidak memeriksa infrastruktur serangan, sementara memungkinkan pengguna sebenarnya untuk melewatinya.
Setelah fase validasi selesai, pengguna akan diarahkan ke halaman login Microsoft palsu yang dihosting di domain non-Microsoft, yang pada akhirnya mencuri kredensial apa pun yang dimasukkan oleh korban.
Menanggapi temuan tersebut, Google telah memblokir upaya phishing yang menyalahgunakan fitur notifikasi email dalam Google Cloud Application Integration, dan menambahkan bahwa mereka mengambil langkah-langkah lebih lanjut untuk mencegah penyalahgunaan lebih lanjut.