Seorang peneliti keamanan yang dikenal sebagai Nightmare-Eclipse kini terpaksa berpindah ke blog pribadi setelah dikeluarkan dari GitHub dan GitLab dalam jarak hanya beberapa hari. Namun, pemblokiran itu tidak meredam ancamannya, karena ia justru melontarkan peringatan eksplisit yang mengarah ke 14 Juli, hari Patch Tuesday bulan depan.
Nama Nightmare-Eclipse, yang juga memakai alias Chaotic Eclipse dan Dead Eclipse, mencuat setelah enam disclosure zero-day Windows dalam enam minggu. Selama periode itu, ia merilis proof-of-concept yang sudah dipersenjatai untuk enam kerentanan yang berbeda tanpa melalui jalur koordinasi publik terlebih dahulu.
Deretan zero-day yang dipublikasikan
Sejak awal April 2026, enam celah itu muncul dengan nama BlueHammer, RedSun, UnDefend, YellowKey, Green Plasma, dan MiniPlasma. Semua targetnya berada di komponen yang terletak di atau di bawah lapisan keamanan endpoint, sehingga risikonya menyentuh perlindungan inti sistem.
Microsoft sudah menambal tiga di antaranya. BlueHammer diberi label CVE-2026-33825 dan ditutup dalam Patch Tuesday 14 April, sementara RedSun dan UnDefend diperbaiki di luar jadwal pada 21 Mei sebagai CVE-2026-41091 dan CVE-2026-45498.
Perbaikan darurat itu muncul setelah Huntress mengonfirmasi bahwa ketiganya sudah aktif dieksploitasi dalam serangan nyata. CISA kemudian memasukkan ketiga CVE tersebut ke katalog Known Exploited Vulnerabilities dan mewajibkan lembaga federal menambal CVE-2026-41091 serta CVE-2026-45498 sebelum 3 Juni.
Tiga celah lain masih terbuka
Di sisi lain, YellowKey, GreenPlasma, dan MiniPlasma masih belum ditambal pada saat publikasi. Dari ketiganya, MiniPlasma menjadi sorotan karena menargetkan Windows Cloud Filter driver dan dapat menaikkan hak akses akun standar menjadi SYSTEM pada Windows 11 yang sudah dipasangi pembaruan Mei 2026.
BleepingComputer dan beberapa peneliti independen telah mengonfirmasi bahwa eksploit itu bekerja tanpa modifikasi. Fakta tersebut membuat MiniPlasma bukan sekadar konsep teoretis, melainkan alat yang sudah terbukti bisa dipakai di lingkungan yang nyata.
Dari GitHub ke blog pribadi
Langkah penghapusan akun dimulai ketika Microsoft dituduh menandai dan menghapus repositori GitHub sekitar 23 Mei 2026. Nightmare-Eclipse kemudian pindah ke GitLab, tetapi akun itu juga ditangguhkan pada 26-27 Mei karena menampung kode exploit zero-day yang sudah dipersenjatai.
Dengan dua platform utama itu tertutup, ia kini memusatkan publikasi di blog pribadinya. Model ini memang lebih sempit jangkauannya, tetapi tetap memungkinkan distribusi langsung untuk file binari dan source code selama ia bersedia memeliharanya.
Ancaman yang diarahkan ke 14 Juli
Dalam unggahan yang ditandatangani, peneliti itu menulis langsung kepada Microsoft dan menandai 14 Juli sebagai tanggal penting. Ia menulis, “Mark this date, July 14th. I will make sure your bones are shattered that day.”
Ia juga menyebut tidak ada disclosure baru yang direncanakan pada Juni, meski masih menyisakan ruang untuk mengubah langkah. Dalam unggahan sebelumnya, ia sudah memperingatkan akan naik level ke celah remote code execution jika Microsoft terus mengabaikan laporannya.
Dampak bagi pertahanan Windows
Barracuda Networks mencatat bahwa rantai eksploit Nightmare Eclipse yang menggabungkan privilege escalation lewat BlueHammer, RedSun, atau MiniPlasma dengan penekanan Defender melalui UnDefend sudah terlihat dalam intrusi jaringan yang terkonfirmasi. Kombinasi itu menunjukkan bagaimana satu celah bisa dipakai bersama celah lain untuk memperluas kendali penyerang.
Hingga kini, pertanyaan terbesarnya adalah apa yang akan muncul pada 14 Juli. Yang belum berubah adalah pola tindakannya, karena setiap peringatan sebelumnya selalu mendahului publikasi eksploit yang benar-benar dirilis.
