Peretas China Diduga Eksploitasi Celah ToolShell untuk Serangan Siber Global
Jum'at, 31 Oktober 2025 - 07:11 WIB
Symantec juga mencatat bahwa kerentanan lain yang berhubungan, CVE-2025-53771, ditambal bersamaan dengan ToolShell. Celah ini merupakan path traversal bug yang memungkinkan pelaku menyerang jaringan dengan melakukan spoofing, dan juga merupakan varian dari kerentanan lama (CVE-2025-49706).
Beberapa hari setelah patch dirilis, Microsoft menyebut sedikitnya tiga kelompok peretas asal China telah mengeksploitasi ToolShell. Dua di antaranya merupakan kelompok mata-mata siber Budworm (Linen Typhoon) dan Sheathminer (Violet Typhoon). Selain itu, kelompok lain bernama Storm-2603 juga memanfaatkan celah tersebut untuk menyebarkan ransomware Warlock.
Symantec mengungkap aktivitas jahat di perusahaan telekomunikasi Timur Tengah itu dimulai pada 21 Juli 2025, hanya dua hari setelah patch dirilis. Para peretas diduga menanamkan webshell untuk membuka jalur akses awal.
“Para pelaku memuat backdoor Zingdoor ke jaringan dengan metode sideloading menggunakan berkas sah milik Trend Micro,” tulis laporan tersebut.
“Zingdoor merupakan HTTP backdoor berbasis bahasa Go yang pertama kali terdeteksi pada April 2023 dan digunakan oleh Glowworm. Program ini dapat mengumpulkan informasi sistem, mengunggah dan mengunduh berkas, serta menjalankan perintah di jaringan korban.”
Selain Zingdoor, peretas juga memanfaatkan Trojan ShadowPad, yang loader-nya disisipkan melalui berkas BitDefender yang sah. Pada 25 Juli, pelaku menjatuhkan malware tahap awal KrustyLoader, ditulis dalam bahasa Rust, yang berfungsi untuk memuat payload tahap kedua. KrustyLoader memiliki kemampuan anti-sandbox, menyalin diri, menghapus diri sendiri setelah digunakan, serta mengunduh malware tambahan.
Alat Sliver, sebuah kerangka red team sumber terbuka yang sering disalahgunakan oleh peretas sebagai sistem command and control, juga terdeteksi digunakan dalam serangan ini.
Selain itu, para pelaku memanfaatkan berbagai alat umum dan living-off-the-land tools seperti Certutil, GoGo Scanner, Revsocks, Procdump, dan Minidump, yang kerap digunakan untuk mencuri kredensial dari sistem Windows, termasuk dari proses lsass.exe. Eksploitasi terhadap kerentanan PetitPotam (CVE-2021-36942) juga dilakukan untuk mencuri kredensial dari server Windows dan memperluas kendali di jaringan korban.
Eksploitasi TootShell
Beberapa hari setelah patch dirilis, Microsoft menyebut sedikitnya tiga kelompok peretas asal China telah mengeksploitasi ToolShell. Dua di antaranya merupakan kelompok mata-mata siber Budworm (Linen Typhoon) dan Sheathminer (Violet Typhoon). Selain itu, kelompok lain bernama Storm-2603 juga memanfaatkan celah tersebut untuk menyebarkan ransomware Warlock.
Symantec mengungkap aktivitas jahat di perusahaan telekomunikasi Timur Tengah itu dimulai pada 21 Juli 2025, hanya dua hari setelah patch dirilis. Para peretas diduga menanamkan webshell untuk membuka jalur akses awal.
“Para pelaku memuat backdoor Zingdoor ke jaringan dengan metode sideloading menggunakan berkas sah milik Trend Micro,” tulis laporan tersebut.
“Zingdoor merupakan HTTP backdoor berbasis bahasa Go yang pertama kali terdeteksi pada April 2023 dan digunakan oleh Glowworm. Program ini dapat mengumpulkan informasi sistem, mengunggah dan mengunduh berkas, serta menjalankan perintah di jaringan korban.”
Selain Zingdoor, peretas juga memanfaatkan Trojan ShadowPad, yang loader-nya disisipkan melalui berkas BitDefender yang sah. Pada 25 Juli, pelaku menjatuhkan malware tahap awal KrustyLoader, ditulis dalam bahasa Rust, yang berfungsi untuk memuat payload tahap kedua. KrustyLoader memiliki kemampuan anti-sandbox, menyalin diri, menghapus diri sendiri setelah digunakan, serta mengunduh malware tambahan.
Alat Sliver, sebuah kerangka red team sumber terbuka yang sering disalahgunakan oleh peretas sebagai sistem command and control, juga terdeteksi digunakan dalam serangan ini.
Selain itu, para pelaku memanfaatkan berbagai alat umum dan living-off-the-land tools seperti Certutil, GoGo Scanner, Revsocks, Procdump, dan Minidump, yang kerap digunakan untuk mencuri kredensial dari sistem Windows, termasuk dari proses lsass.exe. Eksploitasi terhadap kerentanan PetitPotam (CVE-2021-36942) juga dilakukan untuk mencuri kredensial dari server Windows dan memperluas kendali di jaringan korban.
Lihat Juga :