Server Update eScan Dibobol, Digunakan untuk Mendistribusikan Pembaruan Berbahaya
MicroWorld Technologies mengonfirmasi bahwa salah satu server pembaruan eScan antivirus telah dibobol dan dimanfaatkan untuk mendistribusikan pembaruan tidak sah yang kemudian teridentifikasi sebagai berbahaya. Insiden ini terjadi dalam jangka waktu terbatas dan berdampak pada sebagian kecil pelanggan yang menerima pembaruan dari klaster server regional tertentu.
Menurut pernyataan resmi perusahaan, file berbahaya tersebut didistribusikan kepada pelanggan yang melakukan pembaruan selama jendela waktu sekitar dua jam pada 20 Januari 2026. MicroWorld menyebutkan bahwa infrastruktur yang terdampak telah segera diisolasi dan dibangun ulang, kredensial autentikasi diputar ulang, serta langkah remediasi telah disiapkan dan disalurkan kepada pelanggan yang terkena dampak.
Insiden ini diklasifikasikan sebagai akses tidak sah terhadap infrastruktur pembaruan, bukan akibat adanya kerentanan pada produk eScan itu sendiri. Akses ilegal terhadap konfigurasi server update regional memungkinkan sebuah file yang tidak semestinya ditempatkan dalam jalur distribusi pembaruan, sehingga ikut terunduh oleh klien yang terhubung ke klaster tersebut pada waktu tertentu.
Perusahaan keamanan Morphisec secara terpisah merilis analisis teknis yang mengaitkan aktivitas berbahaya di endpoint pelanggan dengan pembaruan eScan yang dikirim pada periode yang sama. Morphisec menyebutkan bahwa mereka mendeteksi aktivitas mencurigakan pada 20 Januari 2026 dan kemudian menghubungi pihak eScan. Namun, MicroWorld menyatakan bahwa mereka telah mendeteksi masalah tersebut secara internal melalui sistem pemantauan dan laporan pelanggan pada hari yang sama, serta mengisolasi infrastruktur terdampak dalam hitungan jam sebelum mengeluarkan advis keamanan keesokan harinya.
MicroWorld juga menepis klaim bahwa pelanggan tidak diberi tahu, dengan menyatakan bahwa notifikasi proaktif dan komunikasi langsung telah dilakukan kepada pelanggan yang terdampak selama proses remediasi berlangsung. Hanya pengguna yang melakukan pembaruan dari klaster regional tertentu yang terpengaruh, sementara pelanggan lain tidak mengalami dampak apa pun.
Bagi sistem yang sempat menerima pembaruan berbahaya tersebut, eScan mengungkapkan beberapa gejala yang mungkin muncul, antara lain kegagalan layanan update, perubahan pada file hosts sistem yang menghalangi koneksi ke server update eScan, modifikasi konfigurasi pembaruan, ketidakmampuan menerima definisi keamanan terbaru, serta notifikasi kegagalan update pada mesin klien.
Analisis Morphisec menyebutkan bahwa pembaruan berbahaya tersebut menyertakan versi yang dimodifikasi dari komponen update eScan bernama Reload.exe. File ini diduga digunakan untuk mempertahankan persistensi, mengeksekusi perintah, memodifikasi file hosts Windows, serta terhubung ke infrastruktur command and control untuk mengunduh payload lanjutan. Muatan akhir yang teramati berperan sebagai backdoor dan downloader persisten, serta membuat scheduled task dengan nama yang tampak sah untuk mempertahankan keberadaan di sistem.
Sebagai respons, eScan telah merilis pembaruan remediasi yang dapat dijalankan pelanggan untuk mengidentifikasi dan memperbaiki perubahan tidak sah, memulihkan fungsi pembaruan eScan, serta memverifikasi keberhasilan pemulihan. Proses ini memerlukan restart sistem standar. Selain itu, pelanggan juga disarankan untuk memblokir alamat command and control terkait sebagai langkah pengamanan tambahan.
Insiden ini menambah daftar panjang serangan terhadap rantai pasok perangkat lunak keamanan. Sebelumnya, mekanisme pembaruan produk keamanan juga pernah disalahgunakan dalam serangan tingkat lanjut, menunjukkan bahwa infrastruktur update tetap menjadi target bernilai tinggi bagi pelaku ancaman. Kasus eScan menjadi pengingat bahwa bahkan solusi keamanan pun dapat menjadi vektor serangan jika infrastruktur pendukungnya berhasil dikompromikan.
