Peneliti keamanan siber mengungkap teknik baru bernama “Zombie ZIP” yang dapat menyembunyikan malware di dalam file arsip terkompresi sehingga sulit dideteksi oleh solusi keamanan seperti antivirus maupun sistem Endpoint Detection and Response (EDR).
Teknik ini memanfaatkan manipulasi pada struktur file ZIP untuk menipu mesin pemindaian keamanan agar memperlakukan data berbahaya sebagai file yang tidak berbahaya.
Memanfaatkan Manipulasi Header ZIP
Teknik Zombie ZIP dikembangkan oleh peneliti keamanan dari Bombadil Systems, Chris Aziz.
Metode ini bekerja dengan memanipulasi header ZIP, khususnya bagian yang menentukan metode kompresi. Dengan cara ini, alat keamanan akan salah menginterpretasikan isi arsip.
Dalam kasus ini, header file diatur seolah-olah data dalam arsip tidak dikompresi (method = STORED). Padahal sebenarnya data di dalamnya masih menggunakan algoritma kompresi DEFLATE yang umum digunakan pada file ZIP modern.
Akibatnya, mesin antivirus yang mempercayai informasi pada header akan memindai data tersebut sebagai file mentah tanpa kompresi.
Karena data sebenarnya masih dalam bentuk terkompresi, mesin pemindaian hanya melihat data acak dan tidak menemukan pola malware yang dikenal.
Lolos dari Hampir Semua Antivirus
Dalam pengujian yang dilakukan peneliti, teknik Zombie ZIP berhasil menghindari deteksi pada 50 dari 51 mesin antivirus yang diuji melalui platform pemindaian malware VirusTotal.
Keberhasilan ini menunjukkan bahwa banyak mesin antivirus masih terlalu bergantung pada informasi header dalam arsip tanpa memverifikasi struktur data sebenarnya.
File Tidak Bisa Dibuka dengan Alat Umum
Ketika pengguna mencoba mengekstrak file menggunakan alat umum seperti WinRAR, 7-Zip, atau unzip, proses ekstraksi biasanya akan gagal dan menghasilkan pesan kesalahan atau data rusak.
Hal ini terjadi karena nilai CRC checksum dalam arsip sengaja diatur sesuai dengan payload yang tidak terkompresi, sehingga alat ekstraksi menganggap arsip tersebut tidak valid.
Namun malware loader khusus yang dibuat penyerang dapat mengabaikan informasi header tersebut dan mengekstrak data menggunakan algoritma DEFLATE, sehingga payload berbahaya dapat dipulihkan dengan sempurna.
Bukti Konsep Sudah Dipublikasikan
Peneliti telah mempublikasikan proof-of-concept (PoC) di GitHub yang berisi contoh arsip Zombie ZIP serta penjelasan teknis mengenai cara kerja teknik tersebut.
Penemuan ini memicu perhatian komunitas keamanan siber karena berpotensi dimanfaatkan oleh pelaku ancaman untuk mendistribusikan malware yang sulit dideteksi.
CERT/CC Keluarkan Peringatan Keamanan
Sehari setelah teknik ini dipublikasikan, CERT Coordination Center (CERT/CC) merilis buletin keamanan untuk meningkatkan kesadaran terhadap risiko file arsip yang dimanipulasi.
Kerentanan terkait teknik ini telah diberikan identifier CVE-2026-0866.
Menurut CERT/CC, masalah ini memiliki kemiripan dengan kerentanan lama yang ditemukan lebih dari dua dekade lalu pada produk antivirus ESET yang dilacak sebagai CVE-2004-0935.
Rekomendasi Keamanan
CERT/CC merekomendasikan beberapa langkah bagi pengembang solusi keamanan, antara lain:
- Memverifikasi metode kompresi yang tercantum pada header dengan struktur data sebenarnya
- Menambahkan mekanisme untuk mendeteksi inkonsistensi pada struktur arsip
- Mengimplementasikan metode inspeksi arsip yang lebih agresif
Sementara itu, pengguna disarankan untuk berhati-hati terhadap file arsip dari sumber yang tidak dikenal.
Jika file ZIP gagal diekstrak dan menampilkan pesan seperti “unsupported method”, sebaiknya file tersebut segera dihapus karena bisa jadi merupakan arsip berbahaya yang memanfaatkan teknik Zombie ZIP.