Geng Ransomware Interlock Eksploitasi Celah Zero-Day Cisco Secure FMC Sejak Januari

Kelompok peretas ransomware Interlock dilaporkan telah mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) tingkat keparahan maksimum pada perangkat lunak Cisco Secure Firewall Management Center (FMC). Serangan berstatus zero-day ini diketahui telah berlangsung secara diam-diam sejak akhir Januari, jauh sebelum pihak pengembang merilis tambalan keamanan resmi.

Berdasarkan temuan tim intelijen ancaman Amazon, operasi ransomware Interlock secara agresif memanfaatkan celah keamanan tersebut untuk menargetkan jaringan firewall tingkat enterprise. CISO Amazon Integrated Security, CJ Moses, mengungkapkan bahwa peretas telah mengeksploitasi kerentanan ini selama 36 hari sebelum akhirnya diungkap ke publik, tepatnya sejak 26 Januari 2026.

“Ini bukan sekadar eksploitasi kerentanan biasa. Interlock memegang zero-day di tangan mereka, memberikan mereka keuntungan waktu berminggu-minggu untuk menyusup ke berbagai organisasi sebelum para praktisi keamanan menyadari apa yang harus diantisipasi,” jelas Moses.

Kerentanan yang dilacak dengan kode CVE-2026-20131 ini baru berhasil ditambal oleh Cisco pada 4 Maret lalu. Celah ini tergolong sangat fatal karena memungkinkan peretas jarak jauh yang tidak diautentikasi untuk mengeksekusi kode Java secara sewenang-wenang dengan hak akses sistem tertinggi (root) pada perangkat yang belum diperbarui.

Menanggapi laporan temuan tersebut, pihak Cisco secara resmi mengapresiasi kemitraan investigasi dengan Amazon dan langsung memperbarui peringatan keamanan mereka. Perusahaan infrastruktur jaringan raksasa tersebut mendesak seluruh pelanggannya untuk segera melakukan peningkatan versi perangkat lunak (upgrade) guna mencegah intrusi lebih lanjut.

Jejak Operasi Interlock dan Ancaman Malware AI

Sebagai informasi, operasi ransomware Interlock pertama kali mencuat pada September 2024. Kelompok ini memiliki rekam jejak kejahatan siber yang meresahkan, termasuk keterkaitan dengan taktik ClickFix dan kampanye serangan malware yang menyebarkan remote access trojan bernama NodeSnake ke dalam jaringan sejumlah universitas di Inggris.

Geng siber ini juga secara terang-terangan mengklaim tanggung jawab atas serangkaian serangan terhadap institusi besar di Amerika Serikat, seperti DaVita, Kettering Health, sistem Texas Tech University, dan infrastruktur operasional kota Saint Paul, Minnesota. Lebih mengkhawatirkan lagi, laporan terbaru dari peneliti IBM X-Force mengungkap bahwa operator Interlock kini mulai mengerahkan varian malware baru berjuluk Slopoly, yang diyakini pengembangannya diakselerasi menggunakan perangkat kecerdasan buatan (AI) generatif.

Insiden pembobolan firewall FMC ini menambah panjang daftar rentetan eksploitasi lini produk Cisco di sepanjang tahun ini. Sejak awal tahun, perusahaan telah berjuang mengatasi beberapa kerentanan zero-day lain yang juga dieksploitasi secara liar. Pada bulan Januari, Cisco terpaksa menambal celah RCE Unified Communications dan kerentanan keparahan maksimum pada Cisco AsyncOS yang disalahgunakan peretas untuk menembus perangkat pertahanan email sejak November 2025.

Sebulan berselang, celah fatal lainnya pada Cisco Catalyst SD-WAN juga ditemukan telah dimanfaatkan peretas untuk melewati sistem autentikasi. Kerentanan tersebut memungkinkan pelaku ancaman mengompromikan pengontrol jaringan dan menyusupkan node berbahaya langsung ke dalam jaringan target.