TrueConf Zero-Day CVE-2026-3502 Diserang, Bahaya untuk Jaringan Pemerintah Asia Tenggara
Kerentanan zero-day pada perangkat lunak video konferensi TrueConf telah dimanfaatkan secara aktif dalam serangkaian serangan siber yang menargetkan jaringan pemerintah di Asia Tenggara. Kerentanan ini, yang dikenal dengan kode CVE-2026-3502 dengan skor CVSS 7.8, berpotensi membuka pintu bagi pelaku kejahatan siber untuk menyebarkan malware berbahaya, termasuk kerangka kerja perintah dan kendali (C2) Havoc.
Detail Kerentanan dan Cara Eksploitasi
Kerentanan ini ditemukan pada mekanisme pembaruan perangkat lunak TrueConf di klien Windows, di mana sistem tidak melakukan pemeriksaan integritas yang memadai saat mengunduh kode pembaruan aplikasi. Hal ini memungkinkan penyerang untuk menyisipkan pembaruan yang telah dimodifikasi secara berbahaya dan mengeksekusi kode sembarangan pada perangkat korban.
Menurut laporan dari perusahaan keamanan siber Check Point, masalah ini terutama terjadi jika penyerang berhasil mengendalikan server TrueConf yang berada di lingkungan lokal (on-premises). "Kelemahan ini berasal dari penyalahgunaan mekanisme validasi pembaruan TrueConf, memungkinkan penyerang yang mengontrol server TrueConf lokal untuk mendistribusikan dan mengeksekusi berkas sembarangan ke semua endpoint yang terhubung," ujar Check Point dalam laporannya.
Dengan kontrol atas server tersebut, penyerang dapat mengganti paket pembaruan resmi dengan versi yang telah diracuni. Klien TrueConf secara otomatis mengunduh dan menjalankan pembaruan tanpa validasi yang cukup, sehingga memungkinkan infeksi tersebar luas di jaringan target.
Kampanye TrueChaos dan Penyebaran Malware Havoc
Serangan ini menjadi bagian dari kampanye bernama TrueChaos yang ditemukan sejak awal tahun 2026. Kampanye ini diketahui menggunakan kerentanan tersebut untuk menginstal kerangka kerja Havoc C2, sebuah perangkat lunak open-source untuk kendali jarak jauh, pada sistem yang rentan.
Teknik yang digunakan termasuk pemasangan backdoor melalui metode DLL side-loading, di mana berkas DLL berbahaya bernama "7z-x64.dll" melakukan aksi tangan langsung (hands-on-keyboard) untuk mengumpulkan informasi, mempertahankan akses, dan mengunduh payload tambahan bernama "iscsiexe.dll" dari server FTP dengan IP 47.237.15[.]197.
Payload ini bertujuan untuk menjalankan sebuah file benign "poweriso.exe" yang dimanfaatkan untuk menyalurkan backdoor. Meski malware tahap akhir belum dipastikan secara eksplisit, laporan menyatakan dengan keyakinan tinggi bahwa tujuan akhirnya adalah instalasi Havoc implant.
Kaitan dengan Aktor Ancaman Berbasis China
Menurut analisis, kampanye TrueChaos diduga kuat dilakukan oleh aktor ancaman yang memiliki nexus dengan China. Indikasinya antara lain adalah penggunaan teknik DLL side-loading, pemanfaatan infrastruktur cloud Alibaba dan Tencent untuk C2, serta kesamaan target yang juga diserang oleh backdoor ShadowPad — malware yang dikenal luas digunakan kelompok peretas yang berafiliasi dengan China.
Selain itu, Havoc juga pernah digunakan oleh kelompok bernama Amaranth-Dragon dalam serangan terhadap instansi pemerintah dan penegak hukum di Asia Tenggara pada 2025, memperkuat dugaan keterlibatan kelompok tersebut.
Dampak dan Mekanisme Penyerangan
Menariknya, penyerang tidak perlu menguasai setiap endpoint secara individual. Mereka hanya perlu mengambil alih server TrueConf lokal yang dipercaya oleh semua klien di jaringan tersebut. Dengan mengganti pembaruan resmi dengan versi berbahaya, mereka mengubah jalur pembaruan sah menjadi saluran distribusi malware yang efektif di berbagai jaringan pemerintahan.
- Server TrueConf on-premises dikendalikan oleh penyerang.
- Paket pembaruan resmi diganti dengan versi berbahaya.
- Klien TrueConf mengunduh dan mengeksekusi pembaruan tanpa validasi penuh.
- Backdoor dan malware lain dipasang untuk kontrol dan pengintaian.
- Payload tambahan diunduh untuk memperkuat akses dan aktivitas berbahaya.
Kerentanan ini telah diperbaiki oleh TrueConf pada klien Windows versi 8.5.3 yang dirilis awal Maret 2026, sehingga pengguna sangat disarankan untuk segera memperbarui aplikasinya.
Analisis Redaksi
Menurut pandangan redaksi, eksploitasi zero-day pada perangkat lunak konferensi video seperti TrueConf menegaskan betapa pentingnya keamanan dalam rantai pasokan perangkat lunak (software supply chain). Serangan ini tidak hanya menargetkan pengguna akhir, tetapi memanfaatkan kepercayaan yang diberikan pada mekanisme pembaruan untuk menyebarkan malware secara masif dan tersembunyi.
Serangan semacam ini berpotensi menimbulkan dampak luas di sektor pemerintahan yang sangat bergantung pada komunikasi digital dan kolaborasi jarak jauh. Selain risiko kebocoran data, serangan ini juga mengancam kelangsungan operasional dan integritas sistem pemerintahan. Oleh karena itu, pembaruan keamanan yang cepat dan penerapan prinsip zero trust pada jaringan internal sangat krusial untuk mencegah kejadian serupa.
Ke depan, publik dan instansi terkait harus mewaspadai potensi eksploitasi serupa pada perangkat lunak kolaborasi lain yang digunakan secara luas. Pengawasan ketat terhadap infrastruktur pembaruan perangkat lunak dan peningkatan kesadaran keamanan di semua tingkatan menjadi kunci mitigasi risiko serangan siber yang semakin canggih.
Untuk informasi lebih lanjut dan update terkini mengenai ancaman siber ini, Anda dapat membaca laporan lengkapnya di The Hacker News dan sumber berita terpercaya lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
