Ancaman yang dihubungkan dengan Nightmare-Eclipse kini makin menarik perhatian karena ia menandai 14 Juli sebagai tanggal penting setelah kehilangan akses ke GitHub dan GitLab. Walau dua jalur publikasi utamanya sudah ditutup, ia tetap mengirim pesan terbuka yang terdengar seperti peringatan langsung kepada Microsoft.
Nama peneliti keamanan ini juga muncul dengan alias Chaotic Eclipse dan Dead Eclipse. Sorotan terhadapnya naik cepat setelah ia mempublikasikan enam disclosure zero-day Windows dalam enam minggu, lengkap dengan proof-of-concept yang sudah dipersenjatai untuk enam kerentanan berbeda.
Enam celah itu muncul sejak awal April 2026 dan dikenal dengan nama BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, dan MiniPlasma. Seluruh targetnya berada di komponen yang berada di atau di bawah lapisan keamanan endpoint, sehingga dampaknya menyentuh perlindungan inti sistem.
Dari enam celah tersebut, Microsoft sudah menambal tiga di antaranya. BlueHammer, yang diberi label CVE-2026-33825, ditutup dalam Patch Tuesday 14 April.
RedSun dan UnDefend kemudian diperbaiki di luar jadwal pada 21 Mei sebagai CVE-2026-41091 dan CVE-2026-45498. Langkah darurat itu muncul setelah Huntress mengonfirmasi bahwa ketiganya sudah aktif dieksploitasi dalam serangan nyata.
Setelah itu, CISA memasukkan ketiga CVE tersebut ke katalog Known Exploited Vulnerabilities. Lembaga federal juga diwajibkan menambal CVE-2026-41091 serta CVE-2026-45498 sebelum 3 Juni.
Di sisi lain, YellowKey, GreenPlasma, dan MiniPlasma masih belum ditambal saat publikasi. MiniPlasma menjadi perhatian khusus karena menargetkan Windows Cloud Filter driver dan dapat menaikkan hak akses akun standar menjadi SYSTEM pada Windows 11 yang sudah dipasangi pembaruan Mei 2026.
BleepingComputer bersama sejumlah peneliti independen mengonfirmasi bahwa eksploit itu bekerja tanpa modifikasi. Temuan tersebut membuat MiniPlasma tidak lagi dipandang sebagai konsep, melainkan alat yang sudah terbukti bisa dijalankan di lingkungan nyata.
Tekanan terhadap Nightmare-Eclipse tidak berhenti pada sisi teknis. Akses publiknya mulai menyempit ketika Microsoft dituduh menandai dan menghapus repositori GitHub sekitar 23 Mei 2026.
Ia kemudian berpindah ke GitLab, tetapi akun itu juga ditangguhkan pada 26-27 Mei. Alasannya sama, yaitu karena menampung kode exploit zero-day yang sudah dipersenjatai.
Setelah dua platform utama itu tertutup, ia memusatkan publikasi di blog pribadinya. Jalur ini memang lebih sempit jangkauannya, tetapi tetap memungkinkan distribusi langsung untuk file binari dan source code selama ia terus memeliharanya.
Dalam unggahan yang ditandatangani, peneliti itu menulis langsung kepada Microsoft dan menandai 14 Juli sebagai tanggal penting. Ia menulis, “Mark this date, July 14th. I will make sure your bones are shattered that day.”
Ia juga menyebut tidak ada disclosure baru yang direncanakan pada Juni, meski masih menyisakan ruang untuk mengubah langkah. Dalam unggahan sebelumnya, ia sudah memperingatkan akan naik level ke celah remote code execution jika Microsoft terus mengabaikan laporannya.
Barracuda Networks mencatat bahwa rantai eksploit Nightmare Eclipse yang menggabungkan privilege escalation lewat BlueHammer, RedSun, atau MiniPlasma dengan penekanan Defender melalui UnDefend sudah terlihat dalam intrusi jaringan yang terkonfirmasi. Kombinasi itu menunjukkan bagaimana satu celah bisa dipakai bersama celah lain untuk memperluas kendali penyerang.
Hingga kini, perhatian tetap tertuju pada apa yang akan muncul pada 14 Juli. Pola tindakannya juga masih menjadi sorotan karena setiap peringatan sebelumnya selalu mendahului publikasi eksploit yang benar-benar dirilis.
Source: www.notebookcheck.net