Peretas China Diduga Eksploitasi Celah ToolShell untuk Serangan Siber Global

JAKARTA - Penelitian terbaru dari Symantec mengungkap bahwa aktor ancaman berbasis China mengeksploitasi celah keamanan ToolShell (CVE-2025-53770) yang baru-baru ini terungkap, untuk menyerang sebuah perusahaan telekomunikasi di Timur Tengah tak lama setelah celah tersebut ditambal pada Juli 2025.

Mengutip dari Industrialcyber.co, Jumat (31/10/2025), investigasi menemukan bahwa kelompok yang sama juga menyusup ke jaringan lembaga pemerintah di sejumlah negara di Afrika dan Amerika Selatan. Di salah satu negara Afrika, dua departemen pemerintahan diketahui diretas dalam periode yang sama.

Symantec mengidentifikasi malware bernama Zingdoor, yang digunakan di ketiga organisasi terdampak, sebelumnya telah dikaitkan dengan kelompok China Glowworm, juga dikenal sebagai Earth Estries atau FamousSparrow. Alat lain yang digunakan dalam kampanye ini, KrustyLoader, memiliki hubungan dengan UNC5221, kelompok yang disebut memiliki keterkaitan dengan China.

Baca Juga: FBI: Hacker China Bidik Infrastruktur Strategis AS

Temuan ini menyoroti meningkatnya kecanggihan dan jangkauan global ancaman siber yang diduga terkait negara, yang menargetkan infrastruktur vital dan lembaga pemerintah di berbagai wilayah.

Bukti juga menunjukkan bahwa lembaga teknologi negara di Afrika, satu departemen pemerintahan di Timur Tengah, dan perusahaan keuangan di Eropa turut menjadi korban serangan oleh kelompok yang sama.

“ToolShell telah ditambal oleh Microsoft pada Juli 2025, namun saat itu celah ini sudah dieksploitasi di lapangan sebagai zero-day vulnerability,” tulis tim Symantec Threat Hunter dalam unggahan blog pada Rabu.

Celah ini memengaruhi server SharePoint lokal dan memungkinkan peretas mendapatkan akses tanpa autentikasi untuk mengeksekusi kode jarak jauh serta mengakses seluruh sistem dan file. ToolShell merupakan varian dari kerentanan lain (CVE-2025-49704) yang juga telah diperbaiki pada bulan yang sama.