PhantomCore Eksploitasi Kerentanan TrueConf untuk Serang Jaringan Rusia

Grup hacktivis pro-Ukraina bernama PhantomCore telah diketahui melakukan serangan aktif yang menargetkan server yang menjalankan perangkat lunak konferensi video TrueConf di Rusia sejak September 2025. Informasi ini terungkap dalam laporan oleh Positive Technologies, yang menyebutkan bahwa kelompok ini memanfaatkan rantai eksploitasi dari tiga kerentanan untuk mengeksekusi perintah secara jarak jauh pada server yang rentan.

Menurut para peneliti Daniil Grigoryan dan Georgy Khandozhko,

"Meskipun tidak ada exploit publik untuk rantai kerentanan ini, PhantomCore berhasil melakukan riset dan reproduksi kerentanan yang menyebabkan banyak kasus operasi di organisasi Rusia."

Profil dan Modus Operandi PhantomCore

PhantomCore, yang juga dikenal dengan nama Fairy Trickster, Head Mare, Rainbow Hyena, dan UNG0901, merupakan kelompok peretas yang memiliki motivasi politis dan finansial. Kelompok ini telah aktif sejak 2022, pasca konflik Rusia-Ukraina, dan dikenal karena pencurian data sensitif serta gangguan jaringan target, termasuk penyebaran ransomware berbasis kode sumber bocoran Babuk dan LockBit.

"Kelompok ini menjalankan operasi berskala besar dengan tingkat stealth tinggi — tetap tak terlihat di jaringan korban dalam waktu lama — berkat pembaruan dan evolusi alat ofensif buatan sendiri," sebut Positive Technologies pada September 2025.

Detail Kerentanan TrueConf yang Dieksploitasi

TrueConf Server memiliki tiga kerentanan utama yang dimanfaatkan oleh PhantomCore:

• BDU:2025-10114 (CVSS 7.5) — Kontrol akses yang tidak memadai memungkinkan permintaan ke endpoint administratif (/admin/*) tanpa autentikasi.
• BDU:2025-10115 (CVSS 7.5) — Kerentanan yang memungkinkan pembacaan file arbitrer di sistem.
• BDU-2025-10116 (CVSS 9.8) — Kerentanan injeksi perintah yang memungkinkan eksekusi perintah sistem operasi secara arbitrer.

Eksploitasi berhasil ketiga celah ini memungkinkan penyerang melewati autentikasi dan mengakses jaringan organisasi. Meski patch keamanan sudah dirilis TrueConf pada 27 Agustus 2025, serangan pertama baru terdeteksi pada pertengahan September 2025, menurut laporan Positive Technologies.

Strategi Serangan dan Alat yang Digunakan

Setelah kompromi server TrueConf, PhantomCore memanfaatkan akses ini sebagai titik awal untuk bergerak lateral di jaringan internal. Mereka menanamkan payload berbahaya untuk pengintaian, penghindaran deteksi, pencurian kredensial, serta membangun saluran komunikasi menggunakan utilitas tunneling.

Contoh payload yang berhasil dipasang termasuk:

• Web shell berbasis PHP yang dapat mengunggah file dan menjalankan perintah jarak jauh.
• File PHP proxy yang menyamarkan permintaan berbahaya sebagai permintaan dari server sah.
• PhantomPxPigeon, klien TrueConf berbahaya yang menyediakan reverse shell untuk koneksi perintah jarak jauh.
• PhantomSscp (DLL), MacTunnelRat (PowerShell), dan PhantomProxyLite (PowerShell) untuk menguatkan posisi di lingkungan yang diretas melalui reverse SSH tunnel.
• ADRecon untuk pengintaian jaringan.
• Veeam-Get-Creds, skrip PowerShell modifikasi untuk mengambil password terkait Veeam Backup & Replication.
• Alat pencuri kredensial seperti DumpIt dan MemProcFS.
• Windows Remote Management (WinRM) dan Remote Desktop Protocol (RDP) untuk pergerakan lateral.
• Alat kendali jarak jauh seperti Velociraptor, serta microsocks, rsocx, dan tsocks untuk mengendalikan host terkompromi melalui SOCKS proxy.

Beberapa serangan juga menggunakan DLL untuk membuat pengguna palsu bernama "TrueConf2" dengan hak administratif pada server konferensi video yang disusupi.

Metode Akses Awal dan Kampanye Phishing

PhantomCore juga diketahui menggunakan teknik phishing untuk mendapatkan akses awal ke organisasi Rusia, termasuk kampanye terbaru Januari dan Februari 2026 yang menyebarkan backdoor melalui arsip ZIP atau RAR berbahaya. Backdoor ini mampu menjalankan perintah jarak jauh dan memuat payload sembarangan pada host korban.

"PhantomCore adalah salah satu kelompok paling aktif di lanskap ancaman Rusia," ujar para peneliti. "Arsenal mereka mencakup alat publik (Velociraptor, Memprocfs, Dokan, DumpIt) dan alat proprietary (MacTunnelRAT, PhantomSscp, PhantomProxyLite). Mereka menargetkan organisasi pemerintah dan swasta dari berbagai sektor industri."

Laporan lengkap Positive Technologies juga mengungkapkan bahwa PhantomCore terus mencari celah di perangkat lunak domestik dan mengembangkan exploit untuk menyerang banyak perusahaan Rusia.

Ancaman Lain dan Tren Serangan Siber di Rusia

Selain PhantomCore, kelompok finansial CapFIX juga melakukan kampanye phishing untuk sektor industri dan penerbangan di Rusia, menyebarkan backdoor bernama CapDoor yang dapat menjalankan perintah PowerShell, DLL, dan executable dari server jarak jauh. Teknik sosial engineering ClickFix menjadi andalan mereka sejak 2025.

Selain itu, beberapa kelompok lain yang aktif di Rusia meliputi:

• Geo Likho: Fokus pada sektor penerbangan dan pengiriman dengan malware pencuri informasi sejak Juli 2024.
• Mythic Likho: Menggunakan phishing dan loader seperti HuLoader, Merlin, serta backdoor Loki terkait framework Havoc.
• Paper Werewolf (GOFFEE): Menyebarkan trojan EchoGather lewat Telegram dan halaman phishing untuk akun Telegram.
• Versatile Werewolf (HeartlessSoul): Memanfaatkan situs palsu dan aplikasi drone untuk menyebarkan framework post-ekploitasi Sliver dan trojan SoullessRAT.
• Eagle Werewolf: Menggunakan saluran Telegram drone untuk distribusi trojan AquilaRAT dengan dropper berbasis Rust.

Menurut perusahaan keamanan Rusia BI.ZONE, meski kelompok-kelompok ini memiliki tujuan serupa dan teknik yang mirip, mereka beroperasi secara mandiri tanpa koordinasi langsung. Mereka juga memanfaatkan teknologi canggih seperti AI generatif untuk mempercepat pengembangan alat serangan.

Analisis Redaksi

Menurut pandangan redaksi, serangan PhantomCore terhadap TrueConf menandai sebuah tahap eskalasi serius dalam perang siber antara Rusia dan Ukraina. Dengan mengeksploitasi kelemahan perangkat lunak komunikasi yang banyak digunakan, kelompok ini tidak hanya mencuri data tetapi juga menetapkan pijakan jangka panjang di jaringan korban. Ini menunjukkan kemampuan teknis dan sumber daya yang sangat maju yang dimiliki oleh kelompok hacktivis pro-Ukraina tersebut.

Lebih jauh, penggunaan alat proprietary dan teknik stealth yang terus diperbarui mengindikasikan bahwa PhantomCore bukan sekadar kelompok opportunistik, melainkan aktor terorganisir yang siap menjalankan operasi siber jangka panjang dengan dampak signifikan terhadap keamanan nasional Rusia. Ancaman ini perlu menjadi perhatian serius bagi perusahaan dan lembaga pemerintah untuk memperkuat pertahanan siber, khususnya dengan mempercepat penerapan patch keamanan dan meningkatkan kesadaran akan phishing.

Kedepannya, publik dan pemangku kepentingan harus terus memantau perkembangan serangan ini serta tren serangan siber lainnya yang semakin kompleks dan terintegrasi dengan teknik canggih seperti AI. Investasi dalam teknologi deteksi dini dan respon insiden harus menjadi prioritas utama untuk mengantisipasi ancaman yang tidak hanya membahayakan data, tetapi juga infrastruktur kritis nasional.