Seorang peneliti keamanan yang dikenal dengan nama Nightmare-Eclipse kini kehilangan ruang publik utamanya setelah akun GitHub dan GitLab miliknya diblokir hanya dalam hitungan hari. Namun, tekanan itu tidak menghentikan aksinya, karena ia justru mengirim peringatan terbuka yang mengarah ke 14 Juli, bertepatan dengan Patch Tuesday bulan depan.
Nama Nightmare-Eclipse juga muncul dengan alias Chaotic Eclipse dan Dead Eclipse. Sorotan terhadapnya naik cepat setelah ia memublikasikan enam disclosure zero-day Windows dalam enam minggu, lengkap dengan proof-of-concept yang sudah dipersenjatai untuk enam kerentanan berbeda.
Rangkaian celah yang ia ungkap
Sejak awal April 2026, enam celah itu dikenal dengan nama BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma, dan MiniPlasma. Seluruh targetnya berada di komponen yang berada di atau di bawah lapisan keamanan endpoint, sehingga dampaknya menyentuh perlindungan inti sistem.
Microsoft sudah menambal tiga di antaranya. BlueHammer, yang diberi label CVE-2026-33825, ditutup dalam Patch Tuesday 14 April, sedangkan RedSun dan UnDefend diperbaiki di luar jadwal pada 21 Mei sebagai CVE-2026-41091 dan CVE-2026-45498.
Perbaikan darurat itu muncul setelah Huntress mengonfirmasi bahwa ketiganya sudah aktif dieksploitasi dalam serangan nyata. CISA lalu memasukkan ketiga CVE tersebut ke katalog Known Exploited Vulnerabilities dan mewajibkan lembaga federal menambal CVE-2026-41091 serta CVE-2026-45498 sebelum 3 Juni.
Tiga celah lain masih belum tertutup
Di sisi lain, YellowKey, GreenPlasma, dan MiniPlasma masih belum ditambal saat publikasi. MiniPlasma menjadi perhatian khusus karena menargetkan Windows Cloud Filter driver dan dapat menaikkan hak akses akun standar menjadi SYSTEM pada Windows 11 yang sudah dipasangi pembaruan Mei 2026.
BleepingComputer bersama sejumlah peneliti independen mengonfirmasi bahwa eksploit itu bekerja tanpa modifikasi. Temuan itu membuat MiniPlasma bukan lagi sekadar konsep, melainkan alat yang sudah terbukti bisa dijalankan di lingkungan nyata.
Diblokir dari GitHub dan GitLab
Langkah penghapusan akun bermula ketika Microsoft dituduh menandai dan menghapus repositori GitHub sekitar 23 Mei 2026. Nightmare-Eclipse kemudian pindah ke GitLab, tetapi akun itu juga ditangguhkan pada 26-27 Mei karena menampung kode exploit zero-day yang sudah dipersenjatai.
Setelah dua platform utama itu tertutup, ia memusatkan publikasi di blog pribadinya. Jalur ini memang lebih sempit jangkauannya, tetapi tetap memungkinkan distribusi langsung untuk file binari dan source code selama ia terus memeliharanya.
Peringatan yang mengarah ke 14 Juli
Dalam unggahan yang ditandatangani, peneliti itu menulis langsung kepada Microsoft dan menandai 14 Juli sebagai tanggal penting. Ia menulis, “Mark this date, July 14th. I will make sure your bones are shattered that day.”
Ia juga menyebut tidak ada disclosure baru yang direncanakan pada Juni, meski masih menyisakan ruang untuk mengubah langkah. Dalam unggahan sebelumnya, ia sudah memperingatkan akan naik level ke celah remote code execution jika Microsoft terus mengabaikan laporannya.
Implikasi bagi pertahanan Windows
Barracuda Networks mencatat bahwa rantai eksploit Nightmare Eclipse yang menggabungkan privilege escalation lewat BlueHammer, RedSun, atau MiniPlasma dengan penekanan Defender melalui UnDefend sudah terlihat dalam intrusi jaringan yang terkonfirmasi. Kombinasi itu menunjukkan bagaimana satu celah bisa dipakai bersama celah lain untuk memperluas kendali penyerang.
Hingga kini, perhatian tetap tertuju pada apa yang akan muncul pada 14 Juli. Pola tindakannya juga masih menjadi sorotan, karena setiap peringatan sebelumnya selalu mendahului publikasi eksploit yang benar-benar dirilis.
