Security

Grup Peretas China Eksploitasi Zero-Day Windows untuk Memata-Matai Diplomat Eropa

November 1, 2025
2 minutes read

Sebuah grup peretas yang berafiliasi dengan pemerintah China dilaporkan tengah mengeksploitasi celah keamanan zero-day di Windows (CVE-2025-9491) untuk melakukan serangan spionase terhadap diplomat di Eropa, termasuk di Hongaria, Belgia, Italia, Serbia, dan Belanda.

🕵️‍♂️ Serangan Berawal dari Email Bertema Diplomatik

Menurut laporan Arctic Wolf Labs, serangan dimulai dengan spearphishing email bertema kegiatan resmi seperti:

  • Workshop pengadaan pertahanan NATO,
  • Pertemuan Komisi Eropa tentang fasilitasi perbatasan, dan
  • Acara diplomatik antarnegara Eropa lainnya.

Email tersebut berisi file LNK berbahaya (shortcut Windows) yang jika dibuka akan mengeksploitasi celah di penanganan file .LNK pada Windows untuk menjalankan malware PlugX Remote Access Trojan (RAT).

Begitu malware aktif, penyerang dapat:

  • Memperoleh akses jarak jauh,
  • Memantau komunikasi diplomatik, dan
  • Mencuri dokumen sensitif dari sistem yang terinfeksi.

⚠️ Eksploitasi Celah CVE-2025-9491

Kerentanan ini memungkinkan pelaku menjalankan kode arbitrer secara jarak jauh, namun memerlukan interaksi pengguna — misalnya korban membuka file LNK atau mengunjungi situs berbahaya.

Masalahnya terletak pada cara Windows menampilkan file shortcut (.LNK). Dengan menyembunyikan perintah berbahaya di dalam struktur COMMAND_LINE_ARGUMENTS menggunakan spasi tersembunyi, pelaku dapat menjalankan perintah tanpa terdeteksi antivirus.

🇨🇳 Dikaitkan dengan Grup Mustang Panda (UNC6384)

Serangan ini dikaitkan dengan UNC6384, yang juga dikenal sebagai Mustang Panda — kelompok spionase siber yang telah lama beroperasi untuk mendukung kepentingan strategis China.
Mereka terkenal menargetkan:

  • Lembaga diplomatik di Asia Tenggara,
  • Badan pemerintah Eropa, dan
  • Organisasi keamanan internasional.

“Kami menilai dengan keyakinan tinggi bahwa kampanye ini dilakukan oleh UNC6384, berdasarkan kesamaan alat malware, taktik, target, dan infrastruktur dengan operasi mereka sebelumnya,” tulis peneliti Arctic Wolf Labs.

💣 Eksploitasi Luas oleh Banyak Grup

Menurut Trend Micro, sejak Maret 2025, celah CVE-2025-9491 telah disalahgunakan oleh setidaknya 11 grup negara dan geng kriminal siber, termasuk:

  • Evil Corp
  • APT43 (Kimsuky)
  • APT37, Bitter, SideWinder, RedHotel, Konni, dan lainnya.

Malware yang digunakan bervariasi — mulai dari Ursnif, Gh0st RAT, hingga TrickBot, memperumit deteksi karena digunakan dalam ekosistem malware-as-a-service (MaaS).

🧩 Belum Ada Patch dari Microsoft

Meski Microsoft telah mengakui celah ini sejak Maret dan berjanji untuk “mempertimbangkan penanganannya,” hingga kini belum ada pembaruan keamanan resmi untuk memperbaiki CVE-2025-9491.

Karena belum tersedia patch, CISA dan para peneliti keamanan menyarankan langkah mitigasi sementara:

  1. Batasi atau blokir penggunaan file .LNK di jaringan internal.
  2. Blokir koneksi ke server Command & Control (C2) yang diidentifikasi oleh Arctic Wolf Labs.
  3. Edukasi pengguna agar tidak membuka lampiran mencurigakan, bahkan jika berasal dari lembaga resmi.

🔍 Kesimpulan

Eksploitasi zero-day Windows oleh Mustang Panda menegaskan kembali kerentanan sistem diplomatik Eropa terhadap operasi siber China.
Dengan belum adanya tambalan dari Microsoft, organisasi pemerintah dan korporasi disarankan untuk memperketat kontrol file shortcut dan komunikasi email diplomatik.

Sumber: Arctic Wolf Labs, Trend Micro

Tags
November 1, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button