Apa itu RomCom? Mengapa Mereka Memilih WinRAR sebagai Target Zero-Day

Belakangan ini dunia keamanan siber kembali diguncang dengan temuan celah Zero-Day di WinRAR, salah satu perangkat lunak kompresi file paling populer di dunia. Celah berbahaya ini dimanfaatkan oleh kelompok peretas RomCom, yang dikenal sebagai kelompok siber berafiliasi Rusia dengan rekam jejak serangan terhadap berbagai institusi penting. Eksploitasi ini memungkinkan penyusupan malware berbahaya hanya lewat file arsip yang tampak biasa, sehingga risiko kebocoran data dan kendali jarak jauh atas sistem menjadi sangat nyata. Kasus ini sekali lagi menegaskan betapa pentingnya kesadaran keamanan digital, mengingat bahkan aplikasi sehari-hari yang tampak sederhana bisa menjadi pintu masuk serangan canggih dengan dampak global.

Sejarah dan Latar Belakang RomCom

RomCom adalah kelompok peretas yang berfokus pada aksi cyber espionage dan cybercrime, dengan reputasi sebagai salah satu aktor ancaman yang agresif dalam beberapa tahun terakhir. Kelompok ini tidak hanya dikenal dengan satu nama, tetapi memiliki sejumlah alias lain seperti Storm-0978, Tropical Scorpius, Void Rabisu, hingga UNC2596, yang kerap digunakan dalam berbagai laporan keamanan siber untuk mengidentifikasi aktivitas mereka.

Kelompok ini pertama kali muncul sekitar pertengahan 2022, dengan jejak awal serangan yang kuat mengarah pada entitas di Ukraina. Target mereka bukan sembarangan, melainkan sektor vital seperti pemerintahan, militer, energi, dan infrastruktur air, yang menunjukkan pola operasi khas spionase siber. Dari sini, terlihat jelas bahwa RomCom bergerak dengan tujuan strategis, bukan hanya sekadar mencari keuntungan finansial.

Seiring berjalannya waktu, RomCom memperluas cakupan operasinya hingga ke Amerika Serikat, Eropa, serta organisasi internasional yang terhubung dengan isu kemanusiaan terkait konflik Ukraina. Ekspansi ini menandakan bahwa kelompok tersebut berusaha memperbesar pengaruhnya di panggung global, dengan memanfaatkan celah keamanan untuk melakukan serangan yang lebih luas dan terkoordinasi. Dengan latar belakang yang kuat terkait Rusia, RomCom kini dipandang sebagai salah satu ancaman siber yang perlu mendapat perhatian serius oleh banyak negara dan organisasi di dunia.

Baca juga: Kelompok Peretas Fire Ant Serang VMware: Apa yang Terjadi?

Mengapa WinRAR Menjadi Target Zero-Day?

WinRAR dipilih sebagai target karena popularitasnya yang luar biasa—software ini sudah lama menjadi pilihan utama pengguna di seluruh dunia untuk mengompresi dan mengekstrak file. Dengan basis pengguna yang begitu luas, celah keamanan di WinRAR otomatis memiliki dampak besar, karena jumlah korban potensial sangat tinggi. Di sisi lain, konsep Zero-Day sendiri merujuk pada kerentanan yang belum diketahui publik atau vendor, sehingga ketika celah ini ditemukan oleh peretas, mereka bisa langsung mengeksploitasinya sebelum pengguna sempat melakukan patch atau update.

Salah satu kelemahan mendasar WinRAR adalah tidak adanya fitur auto-update, sehingga banyak pengguna masih bertahan di versi lama tanpa sadar bahwa mereka rentan. Celah ini memberi peluang besar bagi kelompok seperti RomCom untuk menyusupkan malware backdoor yang bisa dieksekusi secara otomatis begitu sistem direstart. Dampaknya sangat serius karena memungkinkan remote code execution, artinya peretas bisa mengendalikan komputer korban dari jarak jauh, mencuri data, atau bahkan menginstal malware tambahan tanpa sepengetahuan pengguna.

Detail Kerentanan WinRAR (CVE-2025-8088)

Celah keamanan yang dilacak sebagai CVE-2025-8088 diklasifikasikan sebagai directory traversal vulnerability, yaitu kelemahan yang memungkinkan file diekstrak ke lokasi yang tidak seharusnya di sistem pengguna. Dalam kasus WinRAR, peretas bisa menyalahgunakan celah ini untuk menempatkan file berbahaya ke dalam direktori kritis tanpa sepengetahuan korban. Jenis kerentanan ini sangat berbahaya karena dapat digunakan untuk menimpa file penting atau menaruh executable di folder yang dijalankan secara otomatis oleh Windows.

Mekanisme eksploitasi kerentanan ini cukup sederhana namun efektif. Dengan mengirimkan file RAR berbahaya, peretas dapat menaruh malware langsung ke folder Startup Windows, baik di jalur pengguna spesifik (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) maupun sistem secara keseluruhan (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). Begitu komputer di restart, file berbahaya tersebut akan dieksekusi secara otomatis, membuka jalan bagi penyerang untuk melakukan remote code execution dan memasang backdoor permanen di sistem.

Menurut peneliti ESET, yakni Anton Cherepanov, Peter Košinár, dan Peter Strýček, kerentanan ini telah benar-benar dieksploitasi dalam serangan nyata. Mereka mengamati kampanye spearphishing di mana email berisi lampiran RAR digunakan untuk menyebarkan backdoor RomCom. Temuan ini menunjukkan bahwa CVE-2025-8088 bukan sekadar potensi ancaman, tetapi sudah aktif dimanfaatkan untuk operasi siber berbahaya, sehingga pengguna sangat disarankan segera memperbarui WinRAR ke versi terbaru untuk menutup celah tersebut.

RomCom dan Strategi Serangannya

Untuk memahami bagaimana RomCom melancarkan aksinya, kita perlu melihat lebih dekat strategi yang mereka gunakan dalam menargetkan korban. Setiap langkah serangan dirancang dengan tujuan tertentu, mulai dari metode awal penyusupan hingga pemilihan software populer sebagai media eksploitasi. Berikut adalah penjelasan detailnya:

Teknik Spearphishing untuk Menyebarkan Backdoor

RomCom secara konsisten menggunakan spearphishing sebagai pintu masuk utama dalam serangannya. Mereka mengirimkan email yang tampak sah kepada target, sering kali dilengkapi dengan lampiran berformat RAR. Begitu file tersebut dibuka, malware berbahaya—biasanya berupa backdoor—akan terpasang di sistem korban. Teknik ini efektif karena memanfaatkan kepercayaan target pada pengirim, serta memanfaatkan kebiasaan manusia yang cenderung kurang waspada terhadap lampiran dokumen.

Hubungan dengan Taktik Spionase Rusia

Strategi RomCom tidak bisa dilepaskan dari konteks geopolitik, khususnya keterkaitannya dengan taktik spionase Rusia. Target-target utama mereka, seperti pemerintah, militer, dan infrastruktur energi di Ukraina, menunjukkan bahwa serangan ini lebih dari sekadar kriminalitas biasa—melainkan bagian dari operasi intelijen yang terorganisir. Dengan menanamkan backdoor, RomCom bisa mengumpulkan data sensitif, memantau aktivitas, atau bahkan mengganggu operasional penting sebagai bentuk tekanan politik.

Alasan Memilih WinRAR sebagai Target

RomCom memilih WinRAR karena beberapa alasan strategis. Pertama, WinRAR adalah tool arsip yang digunakan secara global, sehingga celah di dalamnya membuka peluang serangan terhadap jutaan pengguna di berbagai negara. Kedua, tidak adanya fitur auto-update membuat banyak pengguna masih bertahan di versi lama, sehingga kerentanan lebih mudah dieksploitasi. Ketiga, WinRAR terintegrasi dengan baik dalam alur kerja sehari-hari, sehingga distribusi malware lewat email attachment menjadi sangat mudah dan jarang dicurigai. Kombinasi faktor inilah yang menjadikan WinRAR target ideal bagi RomCom dalam melancarkan serangan Zero-Day mereka.

Patch dan Update WinRAR

Sebagai respons atas ditemukannya kerentanan CVE-2025-8088, pengembang WinRAR segera merilis versi 7.13 untuk menutup celah berbahaya tersebut. Pembaruan ini menjadi langkah penting karena celah sebelumnya memungkinkan peretas mengeksekusi malware secara otomatis di komputer korban. Namun, berbeda dengan banyak software modern, WinRAR tidak memiliki fitur auto-update, sehingga pengguna wajib melakukan pembaruan secara manual. Hal ini menjadi tantangan tersendiri karena banyak orang awam sering mengabaikan update software, padahal risiko keamanan bisa semakin besar jika tetap menggunakan versi lama.

Pihak pengembang juga menegaskan bahwa celah ini hanya memengaruhi versi Windows dari WinRAR. Untuk pengguna Unix/Linux, Android, serta portable RAR dan UnRAR library, celah ini tidak berlaku, sehingga mereka relatif aman dari eksploitasi CVE-2025-8088. Meski demikian, pengguna Windows tetap menjadi target utama, mengingat basis penggunanya yang sangat besar dan kerentanannya yang paling mudah dieksploitasi oleh kelompok seperti RomCom.

Menariknya, kerentanan ini bukanlah kasus tunggal dalam sejarah WinRAR. Pada Juni 2025, seorang peneliti independen dengan alias whs3-detonator melaporkan kelemahan lain, CVE-2025-6218, melalui Trend Micro’s Zero Day Initiative. Kerentanan tersebut juga terkait dengan directory traversal flaw, di mana peretas bisa memanipulasi jalur ekstraksi file untuk menaruh data di lokasi yang tidak semestinya. Hal ini menunjukkan bahwa WinRAR kerap menjadi target peretas karena sifatnya yang krusial dalam pertukaran file, sehingga pengguna perlu lebih disiplin dalam melakukan update demi meminimalisasi risiko serangan siber.

Dampak dan Implikasi

Serangan yang melibatkan RomCom dan celah Zero-Day WinRAR membawa konsekuensi serius yang perlu diperhatikan dari berbagai sisi. Dampaknya tidak hanya dirasakan oleh individu, tetapi juga oleh organisasi besar yang memiliki infrastruktur penting. Berikut adalah penjelasan detail dari masing-masing poin:

Risiko untuk Pengguna dan Organisasi

Bagi pengguna individu, eksploitasi ini bisa berujung pada masuknya malware yang mencuri data pribadi atau bahkan mengambil alih perangkat. Sementara bagi organisasi, risiko meningkat berkali lipat karena serangan dapat menyasar sistem internal, jaringan kerja, hingga data sensitif perusahaan. Dengan demikian, serangan ini bukan hanya ancaman teknis, tetapi juga mengancam keberlangsungan operasional.

Potensi Kerugian

Dampak paling nyata dari eksploitasi Zero-Day ini adalah pencurian data, baik berupa informasi pribadi maupun rahasia bisnis. Lebih dari itu, peretas bisa mendapatkan akses sistem untuk menjalankan perintah berbahaya dari jarak jauh. Dalam konteks geopolitik, ancaman ini juga membuka peluang spionase, di mana kelompok seperti RomCom bisa memantau aktivitas strategis suatu negara atau organisasi.

Patch dan Kesadaran Keamanan

Untuk meminimalisasi dampak, langkah penting yang harus dilakukan adalah disiplin dalam patch management, yakni memperbarui software begitu ada rilis resmi dari vendor. Namun, patch saja tidak cukup tanpa kesadaran keamanan dari pengguna. Edukasi mengenai bahaya membuka lampiran mencurigakan, pentingnya update manual WinRAR, dan kewaspadaan terhadap serangan spearphishing menjadi kunci untuk menutup celah dari sisi manusia maupun teknologi.

Cara Melindungi Diri dari Serangan RomCom

Untuk menghadapi ancaman serius dari kelompok RomCom yang mengeksploitasi celah Zero-Day di WinRAR, ada sejumlah langkah pencegahan yang bisa dilakukan baik oleh individu maupun organisasi. Setiap langkah ini penting untuk membangun lapisan pertahanan yang lebih kuat agar serangan siber tidak mudah masuk ke sistem. Berikut penjelasan detailnya:

• Update WinRAR ke versi terbaru (7.13)
  Langkah paling mendasar adalah segera memperbarui WinRAR ke versi 7.13, karena inilah versi yang sudah menutup celah CVE-2025-8088. Tanpa update, pengguna tetap rentan meskipun mereka berhati-hati saat menggunakan aplikasi. Mengingat WinRAR tidak memiliki fitur auto-update, pembaruan manual menjadi kewajiban yang tidak boleh ditunda.
• Waspada terhadap lampiran email mencurigakan
  Serangan RomCom kerap disebarkan melalui spearphishing email dengan lampiran file RAR. Karena itu, pengguna harus selalu waspada terhadap email yang datang dari sumber tidak dikenal, terutama jika berisi file terlampir. Prinsip sederhana seperti tidak sembarangan membuka lampiran bisa menjadi penghalang awal yang efektif untuk mencegah malware masuk.
• Gunakan endpoint security & monitoring tools
  Selain kewaspadaan manual, penting juga untuk memperkuat pertahanan dengan endpoint security dan monitoring tools. Perangkat lunak keamanan ini mampu mendeteksi perilaku mencurigakan, memblokir eksekusi file berbahaya, dan memberikan notifikasi dini jika ada upaya serangan. Dengan begitu, risiko penyusupan bisa ditekan secara signifikan.
• Terapkan prinsip Zero Trust dalam keamanan IT
  Organisasi sebaiknya menerapkan model Zero Trust, yaitu prinsip bahwa tidak ada perangkat atau pengguna yang otomatis dipercaya, bahkan dari dalam jaringan. Semua akses harus diverifikasi secara ketat, baik melalui autentikasi berlapis maupun pembatasan hak akses. Dengan cara ini, sekalipun malware masuk, ruang geraknya akan sangat terbatas.
• Awareness training untuk karyawan
  Langkah terakhir yang tidak kalah penting adalah memberikan pelatihan keamanan siber kepada karyawan. Banyak serangan berhasil karena faktor manusia, misalnya klik pada lampiran berbahaya atau kurangnya kesadaran akan update software. Melalui program awareness training, karyawan bisa lebih waspada dan memahami peran penting mereka dalam menjaga keamanan organisasi.

Baca juga: Siapa Saja Target Cyber Espionage dan Bagaimana Mereka Disusupi?

Kesimpulan

Kasus eksploitasi Zero-Day WinRAR oleh RomCom menjadi bukti nyata bahwa bahkan software populer sekalipun bisa menjadi target empuk bagi kelompok peretas. Melalui celah ini, mereka berhasil menyebarkan malware berbahaya yang berpotensi mencuri data dan mengambil alih sistem korban. Peristiwa ini menegaskan kembali pentingnya selalu memperbarui software ke versi terbaru, meningkatkan kesadaran keamanan digital, serta lebih waspada terhadap serangan spearphishing yang seringkali menjadi pintu masuk utama. Dengan langkah sederhana namun konsisten, baik individu maupun organisasi dapat memperkuat pertahanan dari ancaman serangan siber semacam ini.