Celah Microsoft Office Disusupi Peretas Rusia Serang Ukraina

Table of Contents

smelectronik,JAKARTA — Kelompok peretas yang diduga berkaitan dengan intelijen militerRusiakembali melakukan serangan siber dengan memanfaatkan celah keamanan terbaru diMicrosoftKantor. Target serangan ini meliputi lembaga pemerintah di Ukraina serta beberapa negara di Eropa.

Tim Respons Darurat Komputer Ukraina (CERT-UA) menyampaikan bahwa celah keamanan yang tercatat sebagai CVE-2026-21509 mulai dimanfaatkan tidak lama setelah Microsoft mengumumkannya pada awal Januari.

Serangan ini dikaitkan dengan kelompok peretas APT28, yang juga dikenal sebagai Fancy Bear, BlueDelta, atau Forest Blizzard, dan telah lama dikaitkan dengan Rusia.

Berdasarkan laporan CERT-UA yang dirujuk dari The Record pada Kamis (5/2/2026), para pelaku penyerangan menyebarkan dokumen Microsoft Office berbahaya yang menyerupai surat resmi dari pusat hidrometeorologi Ukraina. Dokumen tersebut dikirimkan ke lebih dari 60 alamat email, sebagian besar milik lembaga pemerintah.

Saat dibuka, dokumen ini secara langsung menjalankan malware Covenant, sebuah perangkat lunak sumber terbuka yang awalnya digunakan untuk pengujian keamanan namun kini sering dimanfaatkan oleh peretas secara tidak sah.

Laporan terpisah dari perusahaan keamanan siber Zscaler menunjukkan bahwa serangan serupa juga ditemukan di Slovakia dan Rumania. Dalam kampanye ini, pelaku memanfaatkan email phishing yang ditulis dalam bahasa Inggris maupun bahasa setempat agar korban lebih mungkin membuka dokumen berbahaya tersebut.

Para peneliti Zscaler menemukan dua jenis serangan yang berbeda. Dalam pola pertama, celah keamanan digunakan untuk menginstal malware MiniDoor, yang berfungsi mencuri email korban dan mengirimkannya ke server yang diatur oleh peretas.

MiniDoor diketahui sebagai versi yang lebih sederhana dari NotDoor, sebuah backdoor yang sebelumnya juga dikaitkan dengan APT28. Pola kedua melibatkan pemasangan PixyNetLoader, yang selanjutnya digunakan untuk menyebarkan malware Covenant ke sistem korban.

Microsoft telah merilis pembaruan keamanan untuk menutup celah ini dan menggolongkannya sebagai kerentanan berat yang memengaruhi beberapa produk Office. Kerentanan ini juga telah dimasukkan dalam daftar Known Exploited Vulnerabilities yang diurus oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA).

CERT-UA mengingatkan bahwa ancaman serangan akan terus meningkat selama pengguna dan perusahaan belum melakukan pemasangan pembaruan keamanan yang tersedia. Penundaan dalam pembaruan memberikan kesempatan lebih besar bagi para peretas untuk terus memanfaatkan celah tersebut.

APT28 telah beroperasi selama lebih dari dua dekade dan semakin intensif dalam menyerang Ukraina serta negara-negara Eropa sejak dimulainya invasi Rusia yang besar-besaran.

Beberapa waktu lalu, Jerman mengundang duta besar Rusia setelah menuduh Moskow terlibat dalam serangan siber terhadap otoritas pengatur lalu lintas udara negara tersebut. Pemerintah Jerman menyatakan memiliki bukti yang menghubungkan serangan terhadap Deutsche Flugsicherung pada Agustus 2024 dengan kelompok APT28.

Sebelumnya, pada bulan Mei, kelompok peretas yang sama juga dilaporkan menyerang server webmail milik lembaga pemerintah dan perusahaan pertahanan di Eropa Timur, khususnya di Ukraina, Bulgaria, dan Rumania. (Nur Amalina)