Trojan PipeMagic Eksploitasi Bug Baru Windows, Ini Dampaknya!

Microsoft baru-baru ini mengungkap adanya serangan siber canggih yang memanfaatkan celah keamanan zero-day di sistem operasi Windows. Serangan ini menggunakan trojan bernama PipeMagic yang berhasil menyusup ke sistem korban dan menyebarkan ransomware secara diam-diam. Celah keamanan tersebut kini telah ditambal oleh Microsoft dalam pembaruan Patch Tuesday bulan April 2025.

Celah keamanan yang dimaksud adalah CVE-2025-29824, yakni bug pada sistem Windows Common Log File System (CLFS) yang memungkinkan pelaku kejahatan siber mendapatkan hak akses tertinggi dalam sistem, yaitu level SYSTEM. Dengan hak istimewa ini, penyerang bisa melakukan apa saja, termasuk menyuntikkan kode berbahaya, mencuri data penting, hingga mengenkripsi seluruh file korban dengan ransomware.

Target Serangan: Dari AS hingga Timur Tengah
Microsoft mencatat bahwa serangan ini menargetkan beberapa sektor industri penting yang tersebar di berbagai negara. Di antaranya adalah organisasi di bidang teknologi informasi (TI) dan properti di Amerika Serikat, sektor keuangan di Venezuela, sebuah perusahaan perangkat lunak di Spanyol, serta sektor ritel di Arab Saudi.

Menariknya, jumlah korban dari serangan ini tergolong kecil dan terarah. Ini menunjukkan bahwa pelaku bukan hanya mengandalkan serangan acak, melainkan memiliki tujuan khusus dan memilih target berdasarkan nilai strategis atau ekonomis.

Storm-2460: Kode Nama Operasi Siber
Microsoft menamai rangkaian aktivitas berbahaya ini dengan sandi Storm-2460. Para pelaku ancaman dalam operasi ini memanfaatkan malware canggih bernama PipeMagic, yang bertindak sebagai pengantar eksploitasi celah keamanan sekaligus sebagai sarana penyebaran ransomware.

PipeMagic sendiri merupakan jenis trojan berbasis plugin yang sudah diamati peredarannya sejak tahun 2022. Trojan ini sering digunakan untuk membuka “pintu belakang” (backdoor) pada sistem korban, memungkinkan pelaku untuk mengontrol komputer dari jarak jauh dan menjalankan berbagai instruksi berbahaya.

Teknik Penyebaran: Dari MSBuild hingga certutil
Walaupun cara awal pelaku memperoleh akses ke sistem korban masih belum diketahui secara pasti, para peneliti keamanan menemukan bahwa pelaku menggunakan alat bawaan Windows bernama certutil untuk mengunduh malware dari situs web sah yang sebelumnya telah diretas.

File jahat yang diunduh merupakan skrip MSBuild, yakni alat bawaan Windows yang biasanya digunakan untuk mengompilasi proyek .NET. Namun dalam kasus ini, MSBuild dimanipulasi untuk menjalankan muatan terenkripsi yang berisi trojan PipeMagic.

Setelah berhasil dijalankan, PipeMagic memberikan pelaku akses penuh ke sistem korban, memungkinkan mereka menjalankan aksi lebih lanjut seperti mencuri informasi login dan menyebarkan ransomware.

Bukan Kali Pertama PipeMagic Digunakan
Microsoft mencatat bahwa CVE-2025-29824 adalah celah kedua yang dieksploitasi menggunakan PipeMagic. Sebelumnya, PipeMagic juga digunakan untuk mengeksploitasi celah CVE-2025-24983, bug lain pada sistem Win32 yang juga sudah ditambal oleh Microsoft.

Lebih jauh lagi, pada tahun 2023, perusahaan keamanan siber Kaspersky juga menemukan bahwa PipeMagic digunakan dalam serangan ransomware Nokoyawa yang memanfaatkan celah zero-day pada CLFS lainnya, yaitu CVE-2023-28252. Ini menunjukkan bahwa PipeMagic telah menjadi alat andalan dalam berbagai kampanye serangan siber bertarget tinggi.

Sistem Terbaru Tak Terpengaruh
Microsoft memastikan bahwa pengguna Windows 11 versi 24H2 tidak terdampak oleh eksploitasi celah ini. Hal tersebut karena versi terbaru ini telah menerapkan pembatasan akses terhadap kelas informasi sistem tertentu, seperti NtQuerySystemInformation, yang hanya bisa diakses oleh pengguna dengan hak istimewa SeDebugPrivilege, yakni hak akses setingkat administrator.

Cara Kerja Eksploitasi
Tim Intelijen Ancaman Microsoft menjelaskan bahwa eksploitasi ini menargetkan driver kernel CLFS. Setelah berhasil, pelaku akan memanfaatkan fungsi API RtlSetAllBits untuk memodifikasi token proses dan menetapkan nilainya menjadi 0xFFFFFFFF. Akibatnya, proses tersebut memperoleh semua hak istimewa, dan bisa menyusup ke proses lain milik sistem, termasuk yang berjalan sebagai SYSTEM.

Setelah mendapatkan kendali penuh, pelaku akan mengekstrak kredensial pengguna dengan cara mengambil data dari memori LSASS (komponen Windows yang menyimpan informasi login). Lalu, pelaku mengenkripsi file di komputer korban menggunakan ekstensi acak sebagai bagian dari serangan ransomware.

RansomEXX dan Ancaman Lebih Lanjut
Meski Microsoft belum berhasil memperoleh sampel ransomware secara langsung untuk dianalisis, catatan tebusan (ransom note) yang ditemukan mengarah ke domain TOR yang terkait dengan kelompok ransomware RansomEXX. Grup ini dikenal sebagai salah satu pelaku ransomware kelas atas yang menyasar organisasi besar dengan metode canggih.

Microsoft memperingatkan bahwa eksploitasi privilege escalation seperti ini sangat berharga bagi pelaku ransomware. Dengan teknik ini, mereka bisa mengubah akses awal biasa yang mungkin hanya diperoleh dari malware murahan menjadi akses istimewa. Dari situ, mereka dapat menyebarkan ransomware ke seluruh jaringan perusahaan dengan cepat dan efektif.

Imbauan dan Perlindungan
Microsoft menyarankan semua pengguna Windows, khususnya di lingkungan perusahaan dan organisasi besar, untuk segera menginstal pembaruan keamanan terbaru. Pembaruan ini akan menambal celah CVE-2025-29824 dan mencegah eksploitasi lanjutan.

Selain itu, organisasi juga disarankan untuk memantau penggunaan alat seperti certutil dan MSBuild, karena keduanya sering dimanfaatkan dalam serangan siber tingkat lanjut. Penggunaan deteksi berbasis perilaku dan segmentasi jaringan juga penting untuk memperkecil dampak jika terjadi kompromi.