Peretas Rusia Eksploitasi Celah Microsoft Office yang Baru Ditambal

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengungkap bahwa peretas asal Rusia telah mulai mengeksploitasi kerentanan Microsoft Office yang baru saja ditambal, hanya beberapa hari setelah pembaruan keamanan darurat dirilis. Celah tersebut terdaftar sebagai CVE-2026-21509 dan berdampak pada berbagai versi Microsoft Office.

Microsoft merilis pembaruan keamanan out-of-band pada 26 Januari 2026 setelah mengonfirmasi bahwa kerentanan ini merupakan zero-day yang telah dieksploitasi secara aktif. Namun, CERT-UA mendeteksi distribusi dokumen berbahaya yang memanfaatkan celah tersebut hanya tiga hari setelah pengumuman resmi Microsoft.

Dokumen Berbahaya Menyasar Instansi Pemerintah

Menurut laporan CERT-UA, penyerang menyebarkan file DOC berbahaya dengan tema konsultasi COREPER Uni Eropa terkait Ukraina. Dalam kampanye lain, email penyerang menyamar sebagai komunikasi resmi dari Pusat Hidrometeorologi Ukraina dan dikirim ke lebih dari 60 alamat yang terkait dengan lembaga pemerintahan.

Menariknya, metadata pada dokumen berbahaya tersebut menunjukkan bahwa file dibuat satu hari setelah pembaruan keamanan darurat dirilis. Hal ini mengindikasikan bahwa pelaku dengan cepat mengadaptasi eksploitasi meskipun celah telah ditambal secara resmi.

Serangan ini dikaitkan dengan APT28, kelompok peretas negara yang juga dikenal dengan nama Fancy Bear atau Sofacy. Kelompok ini memiliki hubungan dengan Direktorat Intelijen Utama Staf Umum Rusia (GRU) dan telah lama dikaitkan dengan operasi spionase siber tingkat tinggi.

Rantai Eksploitasi dan Instalasi Malware

Saat dokumen berbahaya dibuka, eksploitasi CVE-2026-21509 memicu rantai serangan berbasis WebDAV yang berujung pada instalasi malware. Mekanisme serangan ini mencakup teknik COM hijacking, penggunaan file DLL berbahaya bernama EhStoreShell.dll, eksekusi shellcode yang disembunyikan dalam file gambar, serta pembuatan scheduled task dengan nama OneDriveHealth.

Eksekusi scheduled task tersebut menyebabkan proses explorer.exe dihentikan dan dijalankan ulang. Proses ini memastikan DLL berbahaya dimuat ke dalam sistem, yang kemudian mengeksekusi shellcode dari file gambar. Shellcode tersebut pada akhirnya meluncurkan perangkat lunak COVENANT, sebuah kerangka kerja malware yang digunakan sebagai loader dan command execution framework.

CERT-UA mencatat bahwa malware COVENANT sebelumnya telah digunakan oleh APT28 dalam serangan pada Juni 2025. Saat itu, kelompok ini mengeksploitasi percakapan Signal untuk mendistribusikan malware BeardShell dan SlimAgent ke organisasi pemerintah di Ukraina.

Infrastruktur C2 dan Perluasan Target

Dalam kampanye terbaru ini, COVENANT memanfaatkan layanan penyimpanan awan Filen sebagai infrastruktur command-and-control. CERT-UA menyarankan agar organisasi memantau atau memblokir koneksi yang terkait dengan layanan tersebut guna meningkatkan pertahanan terhadap ancaman ini.

Investigasi lanjutan juga mengungkap bahwa APT28 menggunakan setidaknya tiga dokumen berbahaya tambahan dalam serangan terhadap berbagai organisasi berbasis di Uni Eropa. Hal ini menunjukkan bahwa kampanye tersebut tidak hanya menargetkan Ukraina, melainkan memiliki cakupan yang lebih luas. Pada salah satu kasus, domain pendukung serangan bahkan didaftarkan pada hari yang sama, menandakan operasi yang terkoordinasi dengan cepat.

Rekomendasi Keamanan

Organisasi sangat disarankan untuk segera memasang pembaruan keamanan terbaru pada Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024, serta Microsoft 365 Apps. Untuk Office 2021 dan versi yang lebih baru, pengguna perlu me-restart aplikasi agar pembaruan dapat diterapkan sepenuhnya.

Jika pembaruan tidak dapat dilakukan dalam waktu dekat, CERT-UA merekomendasikan penerapan mitigasi berbasis registri sebagaimana dijelaskan dalam panduan teknis terkait kerentanan ini. Selain itu, fitur Protected View pada Microsoft Defender tetap menjadi lapisan perlindungan tambahan dengan memblokir file Office berbahaya yang berasal dari internet, kecuali jika secara eksplisit dipercaya oleh pengguna.

Kasus ini kembali menegaskan bahwa kecepatan penerapan pembaruan keamanan menjadi faktor krusial, terutama ketika celah yang sama langsung dimanfaatkan oleh aktor ancaman tingkat negara.