Peretas China Diduga Eksploitasi Celah ToolShell untuk Serangan Siber Global
Jum'at, 31 Oktober 2025 - 07:11 WIB
loading...
Penelitian terbaru Symantec ungkap peretas China diduga eksploitasi celah ToolShell untuk serangan siber global. Foto/The Telegraph
A
A
A
JAKARTA - Penelitian terbaru dari Symantec mengungkap bahwa aktor ancaman berbasis China mengeksploitasi celah keamanan ToolShell (CVE-2025-53770) yang baru-baru ini terungkap, untuk menyerang sebuah perusahaan telekomunikasi di Timur Tengah tak lama setelah celah tersebut ditambal pada Juli 2025.
Mengutip dari Industrialcyber.co, Jumat (31/10/2025), investigasi menemukan bahwa kelompok yang sama juga menyusup ke jaringan lembaga pemerintah di sejumlah negara di Afrika dan Amerika Selatan. Di salah satu negara Afrika, dua departemen pemerintahan diketahui diretas dalam periode yang sama.
Symantec mengidentifikasi malware bernama Zingdoor, yang digunakan di ketiga organisasi terdampak, sebelumnya telah dikaitkan dengan kelompok China Glowworm, juga dikenal sebagai Earth Estries atau FamousSparrow. Alat lain yang digunakan dalam kampanye ini, KrustyLoader, memiliki hubungan dengan UNC5221, kelompok yang disebut memiliki keterkaitan dengan China.
Baca Juga: FBI: Hacker China Bidik Infrastruktur Strategis AS
Temuan ini menyoroti meningkatnya kecanggihan dan jangkauan global ancaman siber yang diduga terkait negara, yang menargetkan infrastruktur vital dan lembaga pemerintah di berbagai wilayah.
Bukti juga menunjukkan bahwa lembaga teknologi negara di Afrika, satu departemen pemerintahan di Timur Tengah, dan perusahaan keuangan di Eropa turut menjadi korban serangan oleh kelompok yang sama.
“ToolShell telah ditambal oleh Microsoft pada Juli 2025, namun saat itu celah ini sudah dieksploitasi di lapangan sebagai zero-day vulnerability,” tulis tim Symantec Threat Hunter dalam unggahan blog pada Rabu.
Celah ini memengaruhi server SharePoint lokal dan memungkinkan peretas mendapatkan akses tanpa autentikasi untuk mengeksekusi kode jarak jauh serta mengakses seluruh sistem dan file. ToolShell merupakan varian dari kerentanan lain (CVE-2025-49704) yang juga telah diperbaiki pada bulan yang sama.
Symantec juga mencatat bahwa kerentanan lain yang berhubungan, CVE-2025-53771, ditambal bersamaan dengan ToolShell. Celah ini merupakan path traversal bug yang memungkinkan pelaku menyerang jaringan dengan melakukan spoofing, dan juga merupakan varian dari kerentanan lama (CVE-2025-49706).
Beberapa hari setelah patch dirilis, Microsoft menyebut sedikitnya tiga kelompok peretas asal China telah mengeksploitasi ToolShell. Dua di antaranya merupakan kelompok mata-mata siber Budworm (Linen Typhoon) dan Sheathminer (Violet Typhoon). Selain itu, kelompok lain bernama Storm-2603 juga memanfaatkan celah tersebut untuk menyebarkan ransomware Warlock.
Symantec mengungkap aktivitas jahat di perusahaan telekomunikasi Timur Tengah itu dimulai pada 21 Juli 2025, hanya dua hari setelah patch dirilis. Para peretas diduga menanamkan webshell untuk membuka jalur akses awal.
“Para pelaku memuat backdoor Zingdoor ke jaringan dengan metode sideloading menggunakan berkas sah milik Trend Micro,” tulis laporan tersebut.
“Zingdoor merupakan HTTP backdoor berbasis bahasa Go yang pertama kali terdeteksi pada April 2023 dan digunakan oleh Glowworm. Program ini dapat mengumpulkan informasi sistem, mengunggah dan mengunduh berkas, serta menjalankan perintah di jaringan korban.”
Selain Zingdoor, peretas juga memanfaatkan Trojan ShadowPad, yang loader-nya disisipkan melalui berkas BitDefender yang sah. Pada 25 Juli, pelaku menjatuhkan malware tahap awal KrustyLoader, ditulis dalam bahasa Rust, yang berfungsi untuk memuat payload tahap kedua. KrustyLoader memiliki kemampuan anti-sandbox, menyalin diri, menghapus diri sendiri setelah digunakan, serta mengunduh malware tambahan.
Alat Sliver, sebuah kerangka red team sumber terbuka yang sering disalahgunakan oleh peretas sebagai sistem command and control, juga terdeteksi digunakan dalam serangan ini.
Selain itu, para pelaku memanfaatkan berbagai alat umum dan living-off-the-land tools seperti Certutil, GoGo Scanner, Revsocks, Procdump, dan Minidump, yang kerap digunakan untuk mencuri kredensial dari sistem Windows, termasuk dari proses lsass.exe. Eksploitasi terhadap kerentanan PetitPotam (CVE-2021-36942) juga dilakukan untuk mencuri kredensial dari server Windows dan memperluas kendali di jaringan korban.
Symantec menyimpulkan bahwa serangan ini menunjukkan eksploitasi ToolShell oleh lebih banyak kelompok peretas asal China dibanding perkiraan sebelumnya.
“Meski ada tumpang tindih antara korban dan alat yang digunakan dengan aktivitas yang sebelumnya dikaitkan dengan Glowworm, kami belum memiliki bukti cukup untuk mengatribusikan serangan ini ke satu kelompok tertentu,” tulis Symantec.
“Namun semua bukti mengarah pada aktor ancaman yang berbasis di China.”
Banyaknya korban yang teridentifikasi menunjukkan bahwa pelaku kemungkinan melakukan mass scanning untuk mencari sistem rentan sebelum menargetkan jaringan tertentu yang dianggap menarik. Tujuan utama tampaknya adalah mencuri kredensial dan membangun akses jangka panjang yang tersembunyi untuk kegiatan spionase.
Menanggapi temuan ini, Roger Grimes, penasihat CISO di KnowBe4, mengatakan dalam pernyataan tertulis bahwa kasus ini menjadi contoh penting mengapa fitur auto-patching perlu menjadi standar di setiap perangkat lunak.
“Tidak semua pengguna akan menerapkan patch yang dirilis. Umumnya, 10–25 persen sistem tetap tidak diperbarui selama berbulan-bulan, bahkan bertahun-tahun,” ujarnya.
“Jika pembaruan otomatis dijadikan default, lebih banyak sistem bisa terlindungi tepat waktu,” pungkas Grimes.
Mengutip dari Industrialcyber.co, Jumat (31/10/2025), investigasi menemukan bahwa kelompok yang sama juga menyusup ke jaringan lembaga pemerintah di sejumlah negara di Afrika dan Amerika Selatan. Di salah satu negara Afrika, dua departemen pemerintahan diketahui diretas dalam periode yang sama.
Symantec mengidentifikasi malware bernama Zingdoor, yang digunakan di ketiga organisasi terdampak, sebelumnya telah dikaitkan dengan kelompok China Glowworm, juga dikenal sebagai Earth Estries atau FamousSparrow. Alat lain yang digunakan dalam kampanye ini, KrustyLoader, memiliki hubungan dengan UNC5221, kelompok yang disebut memiliki keterkaitan dengan China.
Baca Juga: FBI: Hacker China Bidik Infrastruktur Strategis AS
Temuan ini menyoroti meningkatnya kecanggihan dan jangkauan global ancaman siber yang diduga terkait negara, yang menargetkan infrastruktur vital dan lembaga pemerintah di berbagai wilayah.
Bukti juga menunjukkan bahwa lembaga teknologi negara di Afrika, satu departemen pemerintahan di Timur Tengah, dan perusahaan keuangan di Eropa turut menjadi korban serangan oleh kelompok yang sama.
“ToolShell telah ditambal oleh Microsoft pada Juli 2025, namun saat itu celah ini sudah dieksploitasi di lapangan sebagai zero-day vulnerability,” tulis tim Symantec Threat Hunter dalam unggahan blog pada Rabu.
Celah ini memengaruhi server SharePoint lokal dan memungkinkan peretas mendapatkan akses tanpa autentikasi untuk mengeksekusi kode jarak jauh serta mengakses seluruh sistem dan file. ToolShell merupakan varian dari kerentanan lain (CVE-2025-49704) yang juga telah diperbaiki pada bulan yang sama.
Symantec juga mencatat bahwa kerentanan lain yang berhubungan, CVE-2025-53771, ditambal bersamaan dengan ToolShell. Celah ini merupakan path traversal bug yang memungkinkan pelaku menyerang jaringan dengan melakukan spoofing, dan juga merupakan varian dari kerentanan lama (CVE-2025-49706).
Eksploitasi TootShell
Beberapa hari setelah patch dirilis, Microsoft menyebut sedikitnya tiga kelompok peretas asal China telah mengeksploitasi ToolShell. Dua di antaranya merupakan kelompok mata-mata siber Budworm (Linen Typhoon) dan Sheathminer (Violet Typhoon). Selain itu, kelompok lain bernama Storm-2603 juga memanfaatkan celah tersebut untuk menyebarkan ransomware Warlock.
Symantec mengungkap aktivitas jahat di perusahaan telekomunikasi Timur Tengah itu dimulai pada 21 Juli 2025, hanya dua hari setelah patch dirilis. Para peretas diduga menanamkan webshell untuk membuka jalur akses awal.
“Para pelaku memuat backdoor Zingdoor ke jaringan dengan metode sideloading menggunakan berkas sah milik Trend Micro,” tulis laporan tersebut.
“Zingdoor merupakan HTTP backdoor berbasis bahasa Go yang pertama kali terdeteksi pada April 2023 dan digunakan oleh Glowworm. Program ini dapat mengumpulkan informasi sistem, mengunggah dan mengunduh berkas, serta menjalankan perintah di jaringan korban.”
Selain Zingdoor, peretas juga memanfaatkan Trojan ShadowPad, yang loader-nya disisipkan melalui berkas BitDefender yang sah. Pada 25 Juli, pelaku menjatuhkan malware tahap awal KrustyLoader, ditulis dalam bahasa Rust, yang berfungsi untuk memuat payload tahap kedua. KrustyLoader memiliki kemampuan anti-sandbox, menyalin diri, menghapus diri sendiri setelah digunakan, serta mengunduh malware tambahan.
Alat Sliver, sebuah kerangka red team sumber terbuka yang sering disalahgunakan oleh peretas sebagai sistem command and control, juga terdeteksi digunakan dalam serangan ini.
Selain itu, para pelaku memanfaatkan berbagai alat umum dan living-off-the-land tools seperti Certutil, GoGo Scanner, Revsocks, Procdump, dan Minidump, yang kerap digunakan untuk mencuri kredensial dari sistem Windows, termasuk dari proses lsass.exe. Eksploitasi terhadap kerentanan PetitPotam (CVE-2021-36942) juga dilakukan untuk mencuri kredensial dari server Windows dan memperluas kendali di jaringan korban.
Kerentanan Sistem
Symantec menyimpulkan bahwa serangan ini menunjukkan eksploitasi ToolShell oleh lebih banyak kelompok peretas asal China dibanding perkiraan sebelumnya.
“Meski ada tumpang tindih antara korban dan alat yang digunakan dengan aktivitas yang sebelumnya dikaitkan dengan Glowworm, kami belum memiliki bukti cukup untuk mengatribusikan serangan ini ke satu kelompok tertentu,” tulis Symantec.
“Namun semua bukti mengarah pada aktor ancaman yang berbasis di China.”
Banyaknya korban yang teridentifikasi menunjukkan bahwa pelaku kemungkinan melakukan mass scanning untuk mencari sistem rentan sebelum menargetkan jaringan tertentu yang dianggap menarik. Tujuan utama tampaknya adalah mencuri kredensial dan membangun akses jangka panjang yang tersembunyi untuk kegiatan spionase.
Menanggapi temuan ini, Roger Grimes, penasihat CISO di KnowBe4, mengatakan dalam pernyataan tertulis bahwa kasus ini menjadi contoh penting mengapa fitur auto-patching perlu menjadi standar di setiap perangkat lunak.
“Tidak semua pengguna akan menerapkan patch yang dirilis. Umumnya, 10–25 persen sistem tetap tidak diperbarui selama berbulan-bulan, bahkan bertahun-tahun,” ujarnya.
“Jika pembaruan otomatis dijadikan default, lebih banyak sistem bisa terlindungi tepat waktu,” pungkas Grimes.
(mas)
Lihat Juga :
