Hacker Militer Rusia APT28 Eksploitasi Celah Zimbra untuk Retas Pemerintah Ukraina
Kelompok peretas yang didukung negara Rusia, APT28, dilaporkan tengah melancarkan kampanye serangan siber yang menargetkan berbagai entitas pemerintahan Ukraina. Kelompok yang berafiliasi dengan layanan intelijen militer Rusia (GRU) ini diketahui mengeksploitasi kerentanan kritis pada platform Zimbra Collaboration Suite (ZCS).
Kerentanan berisiko tinggi yang dilacak sebagai CVE-2025-66376 ini berakar dari kelemahan stored cross-site scripting (XSS). Meskipun tambalan (patch) keamanan telah dirilis pada awal November lalu, server yang belum diperbarui tetap menjadi sasaran empuk. Eksploitasi celah ini memungkinkan penyerang tanpa autentikasi untuk mendapatkan kemampuan eksekusi kode jarak jauh (RCE), yang berujung pada kompromi server Zimbra dan pengambilalihan akun email target secara penuh.
Menyusul eskalasi ancaman ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memasukkan CVE-2025-66376 ke dalam katalog kerentanan yang dieksploitasi secara aktif (exploited in the wild). Instansi eksekutif sipil federal AS juga telah diperintahkan untuk segera mengamankan server mereka dalam tenggat waktu dua minggu.
Anatomi Serangan Operation GhostMail
Rincian mengenai operasi siber ini pertama kali diungkap oleh para peneliti keamanan dari Seqrite Labs. Mereka mengonfirmasi bahwa peretas militer APT28 secara spesifik menargetkan Ukraina, dengan salah satu korban utamanya adalah Badan Hidrologi Negara Ukraina—sebuah entitas infrastruktur kritis di bawah Kementerian Infrastruktur yang menangani dukungan navigasi, maritim, dan hidrografi.
Kampanye spionase siber yang dijuluki Operation GhostMail ini dirancang dengan tingkat kehati-hatian yang sangat tinggi. Berbeda dengan taktik rekayasa sosial konvensional, email phishing yang dikirimkan oleh peretas sama sekali tidak memuat lampiran berbahaya, tautan eksternal yang mencurigakan, maupun makro.
Seluruh rantai serangan disembunyikan murni di dalam struktur HTML email tersebut. Ketika target membuka pesan melalui sesi webmail Zimbra yang rentan, email itu akan secara otomatis melepaskan payload JavaScript yang telah diobfuskasi.
Skrip berbahaya ini kemudian dieksekusi secara senyap di latar belakang peramban untuk memanen berbagai data krusial. Sistem peretas akan secara agresif menyedot kredensial login, token sesi, kode cadangan autentikasi dua faktor (2FA), kata sandi yang tersimpan di peramban, hingga seluruh isi kotak masuk korban selama 90 hari terakhir. Seluruh tumpukan data curian tersebut kemudian diekstraksi keluar dari jaringan melalui protokol DNS dan HTTPS tanpa terdeteksi.
Zimbra Sebagai Target Favorit Spionase Rusia
Platform Zimbra yang digunakan oleh ratusan juta pengguna di seluruh dunia, termasuk ratusan instansi pemerintah dan korporasi global, memang kerap menjadi incaran empuk bagi kelompok peretas yang disponsori oleh negara.
Rekam jejak menunjukkan bahwa ini bukan kali pertama intelijen Rusia memanfaatkan celah Zimbra. Pada awal 2023, kelompok spionase siber Rusia lainnya, Winter Vivern, menyalahgunakan eksploitasi reflected XSS untuk membobol portal webmail Zimbra guna memata-matai komunikasi para pejabat pemerintah, personel militer, dan diplomat dari negara-negara yang berafiliasi dengan NATO.
Lebih lanjut, pada Oktober 2024, badan siber AS dan Inggris juga sempat mengeluarkan peringatan bersama terkait aktivitas kelompok peretas APT29 (SVR Rusia). Kelompok tersebut diketahui mengeksploitasi server Zimbra yang rentan dalam skala masif untuk mencuri kredensial akun email berbagai target strategis.
