Kelompok peretas Fire Ant baru-baru ini teridentifikasi menjalankan operasi spionase siber yang menargetkan infrastruktur virtualisasi, khususnya VMware ESXi dan vCenter Server. Berbekal teknik canggih dan kemampuan bertahan tinggi, mereka mengeksploitasi celah keamanan yang kerap diabaikan dalam sistem virtualisasi dan jaringan. Serangan ini penting disoroti karena menunjukkan betapa rentannya lapisan infrastruktur yang selama ini dianggap aman, serta menyoroti perlunya peningkatan visibilitas dan sistem deteksi di area yang belum tercakup oleh perlindungan endpoint tradisional.
Fire Ant adalah nama sandi untuk kelompok peretas yang terlibat dalam serangkaian serangan spionase siber tingkat lanjut dengan target utama sistem virtualisasi dan infrastruktur jaringan. Dalam laporan terbaru, kelompok ini diketahui menggunakan teknik yang sangat terstruktur dan sulit dideteksi, termasuk pemasangan backdoor dan eksploitasi celah keamanan zero-day. Mereka menunjukkan kemampuan bertahan yang tinggi bahkan setelah upaya remediasi dilakukan oleh tim keamanan korban.
Kelompok ini diyakini memiliki hubungan erat dengan UNC3886, sebuah China-nexus cyber espionage group yang sudah dikenal aktif sejak setidaknya tahun 2022. Keduanya menunjukkan kesamaan dalam taktik, teknik, dan jenis target yang disasar. UNC3886 sendiri sebelumnya telah dikaitkan dengan berbagai serangan terhadap perangkat edge dan sistem virtualisasi, menggunakan eksploitasi terhadap celah di VMware serta alat akses jarak jauh untuk mempertahankan kontrol jaringan secara diam-diam.
Target historis dari UNC3886 dan Fire Ant meliputi sistem kritikal seperti VMware ESXi, vCenter Server, dan perangkat jaringan seperti load balancer. Fokus mereka pada infrastruktur yang jarang dilengkapi solusi deteksi menjadikan serangan mereka sangat sulit dideteksi dan dibersihkan. Hubungan antara kedua kelompok ini memperkuat dugaan bahwa Fire Ant merupakan bagian dari atau bekerja sama dengan UNC3886 dalam menjalankan kampanye spionase siber berskala besar.
Baca juga: Mengenal Malware CastleLoader: Ancaman Baru di Dunia Siber
Salah satu target utama serangan Fire Ant adalah lingkungan VMware, khususnya VMware ESXi dan vCenter Server. Kedua komponen ini merupakan tulang punggung dari banyak infrastruktur TI modern, karena berfungsi mengelola mesin virtual dan orkestrasi sumber daya di pusat data. Dengan menguasai vCenter, peretas dapat memperoleh akses luas ke seluruh sistem virtual yang terhubung, menjadikan serangan ini sangat strategis dan berdampak besar terhadap kelangsungan operasional organisasi.
VMware menjadi target menarik karena posisinya yang sentral namun sering kali tidak mendapatkan perlindungan seketat endpoint atau server aplikasi. Banyak organisasi mengasumsikan bahwa sistem virtualisasi berada di balik segmentasi jaringan yang aman, padahal kenyataannya, jika celah seperti CVE-2023-34048 berhasil dieksploitasi, pelaku dapat dengan mudah mengambil kendali dan melompati batas-batas segmentasi tersebut. Fire Ant bahkan mampu mengekstraksi kredensial internal dan menyebarkan malware lintas host dengan persistensi tinggi.
Yang lebih mengkhawatirkan, sistem seperti ESXi dan vCenter sering kali tidak terintegrasi ke dalam sistem deteksi dan respons keamanan (EDR) tradisional. Mereka menghasilkan log terbatas dan tidak memiliki mekanisme keamanan built-in yang sebanding dengan sistem lain. Hal ini menciptakan “zona buta” dalam infrastruktur jaringan yang dapat dimanfaatkan peretas untuk beroperasi secara diam-diam dan jangka panjang tanpa terdeteksi.
Dalam menjalankan aksinya, Fire Ant menerapkan berbagai teknik serangan yang sangat canggih dan berlapis. Kelompok ini tidak hanya mengeksploitasi celah keamanan, tetapi juga membangun jalur persistensi dan menyamarkan aktivitasnya untuk menghindari deteksi. Berikut adalah lima teknik utama yang digunakan oleh Fire Ant dalam kampanye spionase sibernya:
Fire Ant memanfaatkan kerentanan CVE-2023-34048 pada vCenter Server untuk memperoleh akses awal ke sistem. Celah ini memungkinkan eksekusi kode jarak jauh, yang kemudian dimanfaatkan untuk mengambil alih kontrol atas pengelolaan seluruh infrastruktur virtualisasi. Meskipun celah ini telah ditambal oleh Broadcom pada Oktober 2023, kelompok ini telah mengeksploitasinya sejak lama sebagai zero-day, menunjukkan betapa cepat dan agresifnya mereka dalam memanfaatkan kelemahan yang belum diketahui publik.
Setelah berhasil masuk ke vCenter, Fire Ant mengekstraksi kredensial akun vpxuser, sebuah akun layanan internal VMware yang digunakan untuk mengelola host ESXi. Kredensial ini kemudian digunakan untuk menyusup ke host ESXi yang terhubung. Di titik ini, mereka memasang beberapa backdoor secara permanen, termasuk varian malware yang dikenal sebagai VIRTUALPITA. Backdoor ini dirancang untuk bertahan meskipun sistem di-reboot, sehingga memungkinkan akses jarak jauh yang terus-menerus tanpa terdeteksi.
Fire Ant juga mengeksploitasi CVE-2023-20867, sebuah celah di VMware Tools yang memungkinkan mereka berinteraksi langsung dengan mesin virtual tamu dari level hypervisor. Dengan memanfaatkan fitur PowerCLI, mereka dapat mengeksekusi perintah, mengunduh dan mengunggah file, bahkan mengakses data sensitif seperti snapshot memori domain controller. Teknik ini sangat berbahaya karena memungkinkan eskalasi akses tanpa perlu masuk langsung ke guest OS.
Untuk menembus batas segmentasi jaringan, Fire Ant memanfaatkan CVE-2022-1388, celah kritis pada F5 load balancer. Dengan mengeksploitasi celah ini, mereka berhasil menyebar ke segmen jaringan lain dan memasang web shell sebagai pintu belakang tambahan. Kemampuan ini memberi mereka akses lintas sistem yang sebelumnya dianggap terisolasi, serta menempatkan beban tambahan pada tim keamanan untuk mendeteksi dan menutup setiap jalur yang digunakan.
Selain itu, Fire Ant menggunakan framework V2Ray untuk membuat saluran komunikasi terenkripsi antar mesin virtual, termasuk VM tak terdaftar yang disebarkan langsung ke host ESXi. Mereka juga menyisipkan web shell untuk memperkuat persistensi dan menyediakan opsi akses cadangan. Strategi ini memungkinkan pergerakan lateral dalam jaringan secara senyap, sekaligus mempersulit pelacakan aktivitas berbahaya oleh sistem monitoring tradisional.
Fire Ant menunjukkan tingkat persistensi yang luar biasa dalam menjaga akses ke sistem yang telah dikompromikan. Mereka tidak hanya mengandalkan satu metode penetrasi, tetapi juga menyiapkan berbagai backdoor cadangan yang akan aktif jika jalur utama dibersihkan. Kelompok ini bahkan mampu mengubah konfigurasi sistem secara real-time untuk beradaptasi terhadap upaya pemulihan dan containment yang dilakukan oleh tim keamanan. Dalam beberapa kasus, mereka menyamarkan file jahat mereka agar tampak seperti alat forensik, sehingga lebih sulit dikenali sebagai ancaman.
Salah satu teknik stealth attack paling mencolok yang digunakan Fire Ant adalah penghapusan jejak log aktivitas. Mereka secara sengaja menghentikan proses “vmsyslogd”, komponen penting di ESXi yang merekam log sistem, sehingga aktivitas mencurigakan tidak tercatat dan forensik digital menjadi sangat terbatas. Teknik logging suppression ini membuat serangan mereka semakin sulit dideteksi dan diinvestigasi, memungkinkan mereka bertahan dalam sistem korban selama berbulan-bulan tanpa terungkap.
Serangan yang dilancarkan oleh Fire Ant bukan hanya sekadar pelanggaran keamanan biasa, tetapi memiliki konsekuensi strategis yang serius terhadap sistem dan operasional organisasi. Berikut ini adalah tiga dampak utama yang harus diperhatikan dari aksi mereka:
Dengan menguasai vCenter Server dan host VMware ESXi, Fire Ant memiliki kemampuan untuk mengendalikan seluruh lingkungan virtualisasi korban. Ini berarti mereka dapat mengakses, memodifikasi, atau bahkan mematikan mesin virtual yang menjalankan aplikasi penting, sistem internal, hingga layanan produksi. Kontrol penuh terhadap layer virtualisasi memberikan mereka keunggulan signifikan untuk melancarkan serangan lebih lanjut tanpa perlu masuk langsung ke sistem fisik.
Salah satu taktik paling berbahaya dari Fire Ant adalah kemampuannya dalam melompati segmentasi jaringan, yaitu batas logis yang biasanya diterapkan untuk memisahkan sistem agar lebih aman. Dengan mengeksploitasi perangkat seperti F5 load balancer dan memanfaatkan jalur tersembunyi antar-host, mereka mampu menjangkau area jaringan yang seharusnya terisolasi. Hal ini membuka jalan bagi pergerakan lateral ke sistem lain yang lebih sensitif tanpa perlu izin akses langsung.
Setelah menembus infrastruktur virtualisasi dan jaringan, Fire Ant juga menyasar infrastruktur penting seperti domain controller, yang menyimpan kredensial dan otorisasi pengguna di seluruh organisasi. Tak hanya itu, sistem layanan publik dan aplikasi yang mendukung operasional perusahaan juga menjadi rentan terhadap sabotase, pencurian data, atau penghentian layanan. Dampak dari serangan semacam ini bisa sangat luas, termasuk terganggunya operasional, kerugian finansial, dan kerusakan reputasi yang serius.
Pemerintah Singapura secara terbuka mengklaim bahwa kelompok UNC3886 berada di balik serangkaian serangan siber yang menargetkan infrastruktur vital negara tersebut. Pernyataan ini disampaikan langsung oleh Menteri Koordinator Keamanan Nasional Singapura, yang menegaskan bahwa aktivitas UNC3886 berpotensi merusak stabilitas dan keamanan nasional, terutama karena mereka menyasar layanan publik yang sangat penting bagi masyarakat. Klaim ini memperkuat posisi Singapura sebagai salah satu negara di Asia yang secara aktif mengidentifikasi dan merespons ancaman siber berbasis negara.
Sebagai tanggapan, pihak Tiongkok dengan tegas menolak tuduhan tersebut. Melalui pernyataan resmi dari kedutaan besar di Singapura, mereka menyebut klaim itu sebagai “tuduhan tak berdasar” dan bahkan menuding bahwa sistem informasi mereka justru menjadi korban serangan siber dari luar negeri. Respons keras ini menandakan adanya ketegangan diplomatik yang dapat berkembang lebih jauh apabila tidak dikelola dengan hati-hati, terutama dalam isu yang sangat sensitif seperti serangan siber lintas negara.
Insiden ini menunjukkan bahwa serangan yang dikaitkan dengan kelompok seperti UNC3886 tidak lagi bersifat lokal atau teknis semata, melainkan telah menyentuh ranah geopolitik global. Negara-negara kini tidak hanya harus membangun pertahanan teknis, tetapi juga strategi diplomatik dan hukum untuk menghadapi potensi serangan negara. Dengan target yang meluas ke infrastruktur penting dan kemungkinan adanya dampak lintas batas, ancaman seperti ini menuntut kolaborasi internasional dalam hal intelijen, respons insiden, dan peningkatan kesadaran akan keamanan siber sebagai bagian dari pertahanan nasional.
Insiden Fire Ant memberikan pelajaran penting mengenai lemahnya visibilitas dan deteksi di lapisan hypervisor, yang sering kali luput dari perhatian tim keamanan. Selama ini, fokus perlindungan lebih banyak tertuju pada sistem endpoint dan aplikasi, padahal lapisan virtualisasi seperti VMware ESXi dan vCenter justru menjadi titik sentral yang jika berhasil ditembus, memungkinkan akses luas ke seluruh lingkungan IT. Tanpa kemampuan monitoring yang memadai di area ini, serangan dapat berlangsung diam-diam dalam jangka waktu lama tanpa terdeteksi.
Selain itu, insiden ini juga menyoroti keterbatasan alat endpoint security tradisional yang umumnya tidak dirancang untuk bekerja secara efektif di sistem virtualisasi. Banyak solusi keamanan tidak memiliki integrasi langsung dengan hypervisor atau host ESXi, sehingga tidak mampu menangkap aktivitas mencurigakan yang terjadi di sana. Oleh karena itu, organisasi perlu segera mengevaluasi dan memperkuat keamanan VMware dan infrastruktur jaringan mereka dengan pendekatan yang mencakup deteksi anomali di lapisan virtual, integrasi telemetry dari hypervisor, serta pembaruan rutin terhadap sistem yang rentan dieksploitasi.
Baca juga: 5 Fakta Mengejutkan tentang BERT Ransomware
Serangan yang dilakukan oleh kelompok Fire Ant menjadi bukti nyata bahwa infrastruktur virtualisasi seperti VMware tidak lagi aman dari ancaman spionase siber tingkat tinggi. Dengan teknik yang canggih, persistensi yang kuat, dan kemampuan menyusup tanpa terdeteksi, mereka mampu mengakses sistem inti yang selama ini dianggap terlindungi. Insiden ini menegaskan bahwa kesiapan keamanan di lapisan virtualisasi kini harus menjadi prioritas utama setiap organisasi. Untuk itu, sangat penting bagi tim TI dan keamanan siber memperkuat sistem deteksi dan respons insiden—tidak hanya di endpoint, tetapi juga di hypervisor dan perangkat jaringan yang selama ini menjadi titik buta dalam pertahanan siber.