Peretas Terkait China Eksploitasi Zero-Day Sitecore untuk Akses Awal Sistem
Kelompok peretas tingkat lanjut yang dilacak sebagai UAT-8837 dan diyakini memiliki keterkaitan dengan China dilaporkan menargetkan sistem infrastruktur kritis di Amerika Utara. Untuk mendapatkan pijakan awal, kelompok ini memanfaatkan kombinasi kredensial yang telah dikompromikan serta eksploitasi celah keamanan, termasuk kerentanan zero-day.
Menurut laporan terbaru dari Cisco Talos, aktivitas UAT-8837 terpantau setidaknya sejak 2025 dan berfokus pada tahap initial access ke organisasi target. Para peneliti menilai tujuan utama kelompok ini adalah membuka jalan bagi akses lanjutan, berbeda dengan aktor lain yang juga terhubung dengan China dan lebih berorientasi pada spionase.
Pola serangan UAT-8837 umumnya diawali dengan pemanfaatan kredensial yang telah bocor atau dengan mengeksploitasi kerentanan pada server. Dalam salah satu insiden terbaru, kelompok ini diketahui mengeksploitasi CVE-2025-53690, sebuah celah ViewState Deserialization zero-day pada produk Sitecore. Penggunaan celah yang saat itu belum dipublikasikan mengindikasikan akses pelaku terhadap kerentanan yang belum diungkap ke publik.
Kerentanan CVE-2025-53690 sebelumnya dilaporkan sebagai zero-day yang dieksploitasi secara aktif pada September 2025 oleh peneliti Mandiant. Dalam kasus tersebut, penyerang terlihat menanamkan backdoor pengintaian bernama WeepSteel. Temuan ini memperkuat indikasi bahwa eksploitasi Sitecore menjadi salah satu vektor favorit untuk membuka akses awal ke jaringan target bernilai tinggi.
Cisco Talos menyatakan memiliki tingkat keyakinan menengah dalam mengaitkan UAT-8837 dengan operasi siber yang berhubungan dengan China. Penilaian ini didasarkan pada kemiripan tactics, techniques, and procedures (TTP) dengan aktor ancaman lain yang telah lama dikaitkan dengan ekosistem serangan siber China.
Setelah berhasil menembus jaringan, UAT-8837 cenderung menggunakan perintah bawaan Windows untuk melakukan pengintaian host dan jaringan. Aktivitas lanjutan termasuk menonaktifkan pengaturan keamanan tertentu untuk mempermudah pencurian kredensial. Para analis mencatat adanya operasi hands-on-keyboard, di mana pelaku secara aktif menjalankan perintah untuk mengumpulkan data sensitif, khususnya kredensial dan informasi direktori.
Dalam hal perkakas, UAT-8837 mengandalkan kombinasi utilitas open-source dan teknik living-off-the-land, dengan terus mengganti varian alat untuk menghindari deteksi. Perangkat yang digunakan mencakup alat pencurian token dan penyalahgunaan Kerberos, utilitas enumerasi Active Directory untuk memetakan pengguna dan relasi domain, serta alat eksekusi jarak jauh berbasis WMI dan DCOM. Kelompok ini juga memanfaatkan terowongan jaringan balik untuk membuka akses ke sistem internal, serta alat administrasi jarak jauh guna mempertahankan keberadaan mereka di jaringan korban.
Analisis atas perintah yang dijalankan menunjukkan bahwa fokus utama serangan adalah pengumpulan kredensial, pemetaan topologi Active Directory, hubungan kepercayaan antar-domain, serta kebijakan dan konfigurasi keamanan. Dalam setidaknya satu insiden, penyerang juga mengekstraksi sebuah berkas DLL dari produk yang digunakan korban, yang berpotensi dimanfaatkan untuk trojanisasi di masa depan atau serangan supply chain.
Laporan Cisco Talos turut menyertakan contoh perintah, daftar alat yang digunakan, serta indikator kompromi yang dapat membantu organisasi mendeteksi aktivitas UAT-8837. Temuan ini kembali menegaskan risiko serius dari kerentanan zero-day pada platform enterprise, sekaligus pentingnya pemantauan aktif dan mitigasi cepat terhadap ancaman yang menargetkan tahap akses awal.
