Kelompok peretas yang diyakini berasal dari Tiongkok dilaporkan memanfaatkan celah keamanan ToolShell (CVE-2025-53770) pada Microsoft SharePoint untuk menyerang lembaga pemerintahan, universitas, penyedia telekomunikasi, dan organisasi keuangan di berbagai belahan dunia.
𧩠Celah ToolShell: Zero-Day Berbahaya di SharePoint
Kerentanan ini memengaruhi SharePoint on-premise dan pertama kali diungkap sebagai zero-day yang aktif dieksploitasi pada 20 Juli 2025.
Hanya sehari setelahnya, Microsoft merilis pembaruan darurat (emergency patch) untuk menutup celah tersebut.
ToolShell sendiri merupakan bypass dari dua celah sebelumnya β CVE-2025-49706 dan CVE-2025-49704 β yang sebelumnya dipamerkan oleh tim Viettel Cyber Security di ajang Pwn2Own Berlin pada Mei 2025.
Celah ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi, memberikan akses penuh ke sistem file server korban.
π΅οΈ Keterlibatan Kelompok Peretas China
Menurut Microsoft, eksploitasi ToolShell sebelumnya telah dikaitkan dengan tiga kelompok ancaman asal Tiongkok:
- Budworm / Linen Typhoon
- Sheathminer / Violet Typhoon
- Storm-2603 / Warlock ransomware
Namun, laporan terbaru dari Symantec (Broadcom) mengungkap bahwa aktivitas eksploitasi lebih luas dari perkiraan, dan kemungkinan melibatkan kelompok Salt Typhoon serta varian ancaman Tiongkok lainnya.
π Target Serangan Tersebar di Empat Benua
Symantec melaporkan korban tersebar di berbagai sektor penting di:
- π Timur Tengah: 1 penyedia layanan telekomunikasi & 1 lembaga pemerintah
- π Afrika: 2 lembaga pemerintah & 1 badan teknologi negara
- π Amerika Selatan: 2 lembaga pemerintah
- πΊπΈ Amerika Serikat: 1 universitas
- πΆ Eropa: 1 perusahaan keuangan
βοΈ Rantai Serangan: Dari Webshell ke Framework Sliver
Kampanye serangan dimulai 21 Juli, tepat setelah eksploitasi CVE-2025-53770 berhasil menanamkan webshell untuk akses permanen.
Tahapan serangan mencakup:
- DLL side-loading β memasukkan backdoor Go-based bernama Zingdoor, untuk pengumpulan sistem info & eksekusi perintah jarak jauh.
- ShadowPad Trojan β diaktifkan melalui side-loading file antivirus sah seperti Trend Micro & BitDefender.
- KrustyLoader (Rust-based) β digunakan untuk men-deploy Sliver framework, alat pasca-eksploitasi populer di kalangan penyerang.
- Credential Dumping β memakai ProcDump, Minidump, dan LsassDumper.
- Domain Compromise β lewat eksploitasi PetitPotam (CVE-2021-36942).
π§° Alat & Teknik yang Digunakan
Para penyerang menggunakan kombinasi alat publik dan βliving-off-the-landβ utilities, antara lain:
- 𧩠Certutil (Microsoft) untuk enkripsi & transfer file
- π GoGo Scanner untuk pemetaan jaringan internal
- π Revsocks untuk data exfiltration & command-and-control
Symantec mencatat bahwa penyerang bahkan menyalahgunakan executable resmi Symantec dalam beberapa varian serangan di Amerika Selatan untuk mengelabui deteksi.
π¨ Kesimpulan
Penemuan baru ini menunjukkan bahwa eksploitasi ToolShell (CVE-2025-53770) lebih meluas dari dugaan awal, dengan lebih banyak kelompok ancaman Tiongkok yang ikut memanfaatkan celah tersebut.
Organisasi yang masih menggunakan SharePoint on-premise sangat disarankan untuk:
- Segera menerapkan patch keamanan terbaru dari Microsoft
- Menonaktifkan akses publik ke antarmuka administratif
- Memantau indikator kompromi (IoC) seperti file webshell dan aktivitas abnormal jaringan
Sumber: Symantec (Broadcom), Microsoft, via BleepingComputer