Peretas China Diduga Eksploitasi Celah “Toolshell” Global

Sejumlah laporan keamanan siber mengungkap bahwa kelompok peretas yang diduga berasal dari China telah mengeksploitasi kerentanan kritis yang dikenal sebagai CVE‑2025‑53770, atau secara informal disebut “Toolshell”, dalam rangkaian serangan siber berskala global. Kerentanan ini menimpa produk server populer seperti Microsoft SharePoint Server yang dijalankan di banyak organisasi, termasuk lembaga pemerintah.

Analisis dari firma keamanan seperti Mandiant menunjukkan bahwa aktor ancaman yang berkaitan dengan China, termasuk yang disebut “China-Nexus”, memanfaatkan celah ini untuk mendapatkan akses tidak sah, menjalankan kode jarak jauh, dan menanam web shell persisten dalam lingkungan korban.

Kerentanan “Toolshell” memungkinkan pelaku untuk melewati otentikasi dan mendapatkan kendali atas server yang rentan. Setelah berhasil masuk, mereka dapat mengeksekusi kode, memperoleh akses administratif, dan menyusup lebih jauh ke jaringan korban. All Things Windows+1

Contoh modus operandi yang tercatat, menurut Microsoft, meliputi pengiriman permintaan POST ke endpoint yang rentan pada SharePoint, pemasangan web shell “spinstall0.aspx” atau varian lainnya, lalu menggunakan akses tersebut untuk mencuri data atau menyebarkan malware lebih lanjut.

Kerentanan ini dimanfaatkan dalam waktu singkat setelah patch dirilis, terutama karena publikasi proof-of-concept (PoC) yang memudahkan kelompok peretas lain untuk ikut mengeksploitasi.

Menurut laporan, institusi di berbagai negara  termasuk organisasi pemerintah, penyedia layanan, dan perusahaan besar — menjadi target dalam gelombang serangan “Toolshell”. Aktivitas ini memunculkan alarm keamanan internasional.

Sementara itu, kawasan Asia-Pasifik menjadi salah satu wilayah yang paling rentan terhadap serangan semacam ini, dengan kelompok-kelompok peretas yang didukung negara aktif melakukan spionase siber dan pencurian data. teknologi.bisnis.com+1

Beberapa faktor mendukung dugaan keterlibatan China dalam serangan ini:

  • Analisis firma keamanan menyebut “China-Nexus” sebagai aktor yang memanfaatkan kerentanan ini awalnya.

  • Pola serangan yang mirip dengan kampanye siber terdahulu yang dikaitkan dengan kelompok peretas China-affiliated, seperti pemanfaatan web shell, spear-phishing, dan target pemerintahan.

Namun, pihak yang dituduh belum selalu memberikan respons terbuka mengenai dugaan ini, sehingga investigasi dan atribusi resmi masih terus berjalan.

Menghadapi ancaman seperti “Toolshell”, pakar keamanan menyarankan langkah-langkah berikut:

  1. Segera terapkan pembaruan (patch) untuk Microsoft SharePoint Server dan produk terkait. Sistem yang belum di-patch menjadi pintu masuk utama.

  2. Aktifkan sistem deteksi dan respons seperti Microsoft Defender for Endpoint atau solusi setara untuk monitoring aktivitas mencurigakan.

  3. Audit dan rotasi kredensial administratif, serta evaluasi konfigurasi keamanannya (misalnya autentikasi dua-faktor, pemisahan hak akses) agar akses tidak sah bisa dihambat.

  4. Pelatihan kesadaran keamanan siber bagi staf dan pengguna akhir agar tidak mudah menjadi korban phishing atau malware yang menanam web shell.

  5. Lakukan audit pasca-insiden untuk memastikan bahwa sistem korban benar-benar bebas dari backdoor atau web shell yang tertanam.

Meski patch telah tersedia, fakta bahwa eksploitasi terjadi dalam hitungan hari setelah publikasi PoC menunjukkan bahwa banyak organisasi masih kurang tanggap terhadap ancaman siber modern. Hal ini menimbulkan beberapa implikasi:

  • Risiko kebocoran data sensitif atau kerusakan sistem yang bisa berdampak finansial dan reputasi.

  • Potensi akses persisten oleh aktor jahat kepada jaringan korban, yang dapat digunakan untuk operasi jangka panjang.

  • Pemerintah dan sektor privat dituntut untuk meningkatkan kolaborasi dalam intelijen ancaman dan kesiapsiagaan siber lintas negara.

Serangan global yang memanfaatkan kerentanan “Toolshell” menunjukkan bahwa ancaman siber tidak lagi terbatas pada aktivitas kriminal sederhana, melainkan telah memasuki ranah spionase dan sabotase berskala internasional. Dugaan keterlibatan aktor dari China menunjukkan dimensi geopolitik yang makin kompleks dalam dunia siber.

Bagi organisasi manapun  pemerintah, perusahaan, atau lembaga kejadian ini menjadi pengingat bahwa pembaruan keamanan dan kesiapan siber bukanlah opsi, melainkan kebutuhan mendesak. Ancaman seperti ini akan terus berkembang, dan hanya mereka yang siaplah yang dapat memitigasi risiko dengan baik.