Zero-Day VMware ESXi Diduga Dieksploitasi Setahun Sebelum Terungkap ke Publik

Sejumlah kerentanan zero-day pada VMware ESXi diduga telah dieksploitasi jauh sebelum diumumkan secara resmi. Temuan ini terungkap dari analisis serangan pada Desember 2025 yang menunjukkan adanya exploit toolkit canggih, yang kemungkinan telah dikembangkan lebih dari satu tahun sebelum celah tersebut dipublikasikan ke publik.

Laporan ini diungkap oleh perusahaan keamanan siber Huntress, yang menganalisis rangkaian serangan dengan teknik virtual machine escape. Dalam serangan tersebut, pelaku ancaman yang berbahasa Mandarin memanfaatkan perangkat VPN SonicWall yang telah dikompromikan sebagai pintu masuk awal, sebelum menjalankan eksploitasi pada lingkungan ESXi.

Eksploitasi tersebut diyakini memanfaatkan tiga kerentanan VMware yang diumumkan sebagai zero-day pada Maret 2025. Dari ketiga celah itu, satu diklasifikasikan sebagai kritis dan dua lainnya berkategori tinggi. Ketiganya memungkinkan penyerang dengan hak administratif untuk menggabungkan eksploitasi, meloloskan diri dari mesin virtual, dan memperoleh akses ke hypervisor yang mendasarinya.

Saat pengungkapan resmi dilakukan, Broadcom—sebagai pemilik VMware—telah memperingatkan bahwa celah-celah tersebut dapat dirangkai dalam satu serangan berbahaya. Namun, temuan Huntress menunjukkan indikasi kuat bahwa rangkaian eksploitasi itu telah aktif setidaknya sejak Februari 2024, jauh sebelum peringatan publik dikeluarkan.

Indikasi tersebut berasal dari jejak build path pada berkas biner eksploit, yang menyertakan nama folder bertanggal awal 2024 dan mengandung keterangan dalam bahasa Mandarin yang dapat diterjemahkan sebagai “seluruh versi escape – delivery.” Penamaan ini mengarah pada target ESXi versi 8.0 Update 3, serta menguatkan dugaan bahwa eksploit tersebut dikembangkan sebagai zero-day yang siap digunakan lintas versi.

Dalam skenario serangan yang dianalisis, akses awal diperoleh melalui VPN SonicWall yang telah dikuasai. Penyerang kemudian menggunakan akun Domain Admin yang dikompromikan untuk bergerak lateral melalui RDP, mempersiapkan eksfiltrasi data, dan akhirnya menjalankan rangkaian eksploit untuk keluar dari mesin virtual menuju hypervisor ESXi.

Toolkit eksploit yang digunakan tergolong kompleks dan modular. Komponennya mencakup pengendali utama yang mengoordinasikan VM escape, driver kernel tanpa tanda tangan untuk manipulasi memori, backdoor pada host ESXi yang memanfaatkan VSOCK untuk eksekusi perintah, serta klien khusus untuk berinteraksi dari dalam mesin virtual. Pendekatan modular ini memungkinkan pelaku mempertahankan infrastruktur pasca-eksploitasi dan hanya mengganti bagian eksploit saat kerentanan baru tersedia.

Huntress menilai dengan tingkat keyakinan sedang bahwa toolkit tersebut memang memanfaatkan tiga kerentanan VMware yang diumumkan pada Maret 2025. Penilaian ini didasarkan pada perilaku eksploit yang sesuai dengan karakteristik masing-masing celah, mulai dari kebocoran memori, korupsi memori melalui VMCI, hingga pelolosan sandbox ke tingkat kernel. Meski demikian, para peneliti menegaskan bahwa mereka belum dapat memastikan secara absolut bahwa mekanisme yang digunakan identik dengan detail eksploit yang dijelaskan dalam buletin resmi Broadcom.

Dari sisi atribusi, sebagian jalur pengembangan menunjukkan penggunaan bahasa Mandarin sederhana, sementara dokumentasi lain ditulis dalam bahasa Inggris. Kombinasi ini mengindikasikan bahwa toolkit tersebut kemungkinan dikembangkan oleh aktor dengan sumber daya besar di wilayah berbahasa Mandarin, dengan potensi untuk dibagikan atau diperjualbelikan ke kelompok ancaman lain.

Sebagai langkah mitigasi, Huntress merekomendasikan organisasi untuk segera menerapkan pembaruan keamanan ESXi terbaru, memperketat pengamanan perangkat VPN, serta memanfaatkan aturan deteksi seperti YARA dan Sigma yang disediakan untuk mendeteksi aktivitas berbahaya sejak dini. Temuan ini menjadi pengingat serius bahwa zero-day dapat dieksploitasi secara aktif jauh sebelum keberadaannya diketahui publik, meningkatkan urgensi pertahanan berlapis pada infrastruktur virtualisasi.