Advisory

Waspada APT UNC3886: Spesialis Zero-Day Pada Infrastruktur IT Kritis

July 19, 2025

 

Deskripsi

1

 

     
 

UNC3886 adalah kelompok spionase siber canggih yang terkait dengan Negara China, pertama kali teridentifikasi oleh Mandiant pada tahun 2022. Meskipun diberi label "UNC" (uncategorized), kelompok ini menimbulkan ancaman serius karena operasi spionase siber yang persisten dan sangat sulit dideteksi. Tujuan utamanya adalah pengumpulan intelijen dan spionase jangka panjang, bukan keuntungan finansial.

Kelompok ini dikenal karena mengeksploitasi kerentanan zero-day pada infrastruktur IT kritis seperti Router, Firewall dan Virtualisasi. Kelompok ini menargetkan organisasi strategis di sektor pemerintah, telekomunikasi, teknologi, pertahanan, kedirgantaraan, energi, dan infrastruktur informasi kritis di seluruh Negara Bagian Amerika Serikat, Eropa, Asia, Afrika, Amerika Utara, dan Oseania.

  
     

 

 

Metode Serangan

2

 

     
 
  1. Initial Access & Exploitation: Mengeksploitasi kerentanan zero-day pada Infrastruktur IT kritis seperti Router (Juniper), Firewall (Fortinet) dan Virtualisasi (VMware).

  2. Persistence: Membangun persistence access pada hypervisor ESXi melalui VIB berbahaya (VirtualPITA, VirtualPIE) dan menanam aplikasi backdoor TINYSHELL.

  3. Credential Access and Lateral Movement: Mencuri kredensial dari vCenter via CVE aktif dan lateral movement dari VM guest ke VMware ESXI Host menggunakan rootkits REPTILE dan MEDUSA.
  4. Command Control (C2) & Eksfiltrasi Data: Menggunakan backdoor VMCI (VIRTUALSHINE, VIRTUALPIE, VIRTUALSPHERE), URL dead-drop (MOPSLED), dan Google Drive (RIFLESPINE) untuk komunikasi dan transfer data.
  5. Evasion Techniques: Melakukan log tampering, bypass kontrol keamanan (Veriexec), dan menggunakan malware kustom/modifikasi (BOLDMOVE, TINYSHELL, REPTILE, MEDUSA).
  
     

 

Indicator of Compromise (IoC)

3

 

     
 
  1. Exploited Vulnerability:
    -   CVE-2022-22948 (VMware) -    CVE-2023-20867 (VMware)
    -   CVE-2022-41328 (Fortinet) -    CVE-2023-34048 (VMware)
    -   CVE-2022-42475 (Fortinet) -    CVE-2025-21590 (Juniper)

  2. Tools: TinyShell, Boldmove, Reptile, Medusa, Mopsled, dan Riflespine.
  3. Informasi mengenai detail IoC lainnya dapat dilihat lebih detail pada referensi poin 4.
  
     

 

Mitigasi

5

 

     
 
  1. Manajemen Patch dan Remediasi Kerentanan: Pastikan menggunakan versi software/firmware terbaru pada Perangkat Juniper, Fortinet dan Vmware.
  2. Tingkatkan Visibilitas: Implementasikan proteksi endpoint sampai level virtual machine VMware, Mengirim log kritis Perangkat Juniper dan Fortinet ke SIEM dan deteksi traffic anomaly menggunakan NDR.
  3. Otentikasi dan Kontrol Akses: Terapkan RBAC dan gunakan PAM ketika mengakses perangkat.
  4. Proactive Threat Hunting: Selalu up-to-date dengan informasi threat dan IoC terbaru menggunakan Cyberthreat Intelligence.
  
     

 

 

Referensi:

1. https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations
2. https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers
3. https://www.bleepingcomputer.com/news/security/unc3886-hackers-use-linux-rootkits-to-hide-on-vmware-esxi-vms/
4. https://csirt.telkom.co.id/iocunc3886.txt 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts