Live Alert:

New ransomware campaign detected targeting financial institutions worldwide

Details →

Security Advisory

This article contains sensitive threat intelligence information. Handle with appropriate security measures.

Cybersecurity Serangan Siber Internasional

Serangan Supply Chain SolarStorm 2.0: Ancaman Baru dari Backdoor Perangkat Lunak Global

Versi baru serangan supply chain mirip SolarWinds muncul, kali ini menargetkan penyedia perangkat lunak enterprise di Amerika Utara dan Asia dengan teknik persistence yang canggih.

C

CyberSec Team

Security Analyst

5 December 2025

Published

5 menit

Reading time

Critical

Threat Level

Serangan Supply Chain SolarStorm 2.0: Ancaman Baru dari Backdoor Perangkat Lunak Global

Sebuah serangan supply chain besar kembali mengguncang dunia keamanan siber.
Dikenal dengan nama SolarStorm 2.0, insiden ini merupakan reinkarnasi dari serangan SolarWinds (2020) yang dulu menembus ribuan jaringan pemerintah dan korporasi global.
Versi barunya kini menargetkan penyedia perangkat lunak enterprise di Amerika Utara dan Asia, dengan teknik backdoor dan persistence yang jauh lebih halus dan sulit dideteksi.

Para peneliti menyebut SolarStorm 2.0 sebagai “salah satu operasi kompromi rantai pasok paling kompleks dalam sejarah digital modern.”

1. Awal Mula dan Pola Serangan

Serangan pertama terdeteksi oleh FireEye Mandiant pada pertengahan Maret 2025, setelah sistem monitoring mereka mendapati anomali dalam pembaruan perangkat lunak ERP milik perusahaan Kanada, SkyLink Systems.
Investigasi lebih lanjut mengungkap bahwa komponen build environment perusahaan telah disusupi selama proses kompilasi.

Artinya, setiap klien yang melakukan pembaruan perangkat lunak resmi SkyLink secara tidak sengaja menginstal backdoor tersembunyi ke dalam sistem mereka.
Metode ini mengingatkan dunia pada SolarWinds Orion Attack (2020) — tetapi dengan skala dan kecerdasan yang lebih menakutkan.

2. Teknik Supply Chain yang Digunakan

SolarStorm 2.0 menggunakan teknik multi-layer compromise, memadukan eksploitasi kode sumber, persistence stealth, dan manipulasi sertifikat digital.
Beberapa elemen kunci dari serangan ini meliputi:

a. Manipulasi Pipeline Build

Pelaku menambahkan skrip injeksi berbahaya langsung ke dalam Continuous Integration (CI) pipeline, memastikan payload tertanam dalam setiap versi pembaruan perangkat lunak.

b. Backdoor “SunDrop 2.0”

Varian malware baru yang terintegrasi dalam modul library internal.
SunDrop 2.0 dirancang untuk tidak aktif selama 14 hari pertama agar tidak menimbulkan kecurigaan, sebelum akhirnya memulai komunikasi terenkripsi ke server kontrol (C2).

c. Digital Certificate Hijacking

Pelaku berhasil mencuri dan menggunakan sertifikat resmi milik SkyLink, membuat file berbahaya terlihat sepenuhnya sah.
Hal ini memungkinkan malware melewati sebagian besar sistem deteksi berbasis code-signing verification.

d. Persistence Melalui Build Agent Ghosting

SolarStorm 2.0 menggunakan metode unik untuk tetap bertahan di sistem korban bahkan setelah reinstall.
Backdoor disimpan dalam konfigurasi build agent yang otomatis aktif kembali setiap kali sistem melakukan kompilasi baru.

3. Skala dan Dampak Global

Lebih dari 250 perusahaan dan lembaga pemerintah di Amerika Utara, Eropa, dan Asia dilaporkan terdampak.
Di antaranya:

  • Tiga bank multinasional di New York dan Toronto.
  • Penyedia layanan cloud Asia Timur yang melayani ribuan pelanggan enterprise.
  • Departemen pertahanan dua negara Asia yang membeli perangkat lunak ERP dari vendor terdampak.

Efek domino terjadi karena software yang terinfeksi digunakan kembali oleh vendor lain, menciptakan rantai kompromi bertingkat (multi-tier supply chain infection).

Para ahli memperkirakan ribuan sistem kini telah terpapar tanpa disadari — menjadikan SolarStorm 2.0 lebih berbahaya dari SolarWinds original karena sifatnya yang tersembunyi dan self-replicating.

4. Analisis Teknis: “Silent Injection Framework”

Salah satu aspek paling mencolok dari SolarStorm 2.0 adalah modul baru yang disebut Silent Injection Framework (SIF).
Framework ini memungkinkan penyerang:

  • Menyusupkan skrip PowerShell, Python, atau Go langsung ke dalam memori.
  • Menjalankan perintah dengan just-in-time execution untuk menghindari deteksi forensik.
  • Menghapus artefak digital setelah eksekusi selesai.

Selain itu, SIF menggunakan protokol komunikasi baru berbasis QUIC (HTTP/3) untuk C2 channel, sehingga lalu lintas berbahaya tampak seperti traffic streaming biasa.
Hal ini membuat sistem pertahanan tradisional sulit mengenali serangan meskipun dengan monitoring tingkat tinggi.

5. Pelaku dan Afiliasi

Berdasarkan tanda tangan digital, bahasa kode, dan infrastruktur server, para analis mengaitkan operasi ini dengan kelompok APT29 (Cozy Bear) — unit yang sama di balik serangan SolarWinds 2020.
Namun, beberapa indikator teknis menunjukkan adanya kolaborasi dengan aktor Asia, khususnya APT41 dari Tiongkok.

Kolaborasi lintas kelompok ini menunjukkan evolusi geopolitik dunia siber, di mana aktor negara mulai berbagi teknologi serangan demi kepentingan strategis bersama.

6. Respon dan Investigasi Internasional

Lembaga seperti CISA (Cybersecurity and Infrastructure Security Agency), Europol EC3, dan Japan CERT kini memimpin penyelidikan global terhadap serangan ini.
Beberapa langkah yang telah dilakukan:

  • Penutupan domain C2 dan pemblokiran hash malware utama.
  • Audit masif terhadap software vendor yang memiliki integrasi dengan SkyLink.
  • Rilis indicator of compromise (IoC) publik agar perusahaan lain bisa mendeteksi infeksi.

Namun, investigasi masih menghadapi kesulitan besar karena payload malware mampu memperbarui dirinya secara otomatis, mirip dengan sistem patch pada perangkat lunak legal.

7. Dampak Ekonomi dan Kepercayaan

Serangan SolarStorm 2.0 telah menimbulkan krisis kepercayaan terhadap industri software global.
Investor menarik diri dari beberapa perusahaan teknologi besar, menyebabkan penurunan nilai pasar lebih dari $50 miliar hanya dalam dua minggu pertama.

Banyak perusahaan kini meninjau ulang model outsourcing mereka, khususnya pada penyedia perangkat lunak pihak ketiga.
Laporan Forrester Research (2025) menyebutkan bahwa 82% perusahaan enterprise global berencana mengadopsi model “Secure Build Isolation”, yaitu lingkungan kompilasi terpisah untuk mencegah kontaminasi rantai pasok.

8. Strategi Pertahanan Baru: “Trust But Verify”

Kasus SolarStorm 2.0 menandai perubahan paradigma besar dalam keamanan perangkat lunak global.
Prinsip “trusted vendor” kini tak lagi cukup.
Organisasi harus menerapkan kebijakan Trust But Verify dengan langkah-langkah seperti:

  • Audit keamanan independen terhadap setiap pembaruan vendor.
  • Implementasi software bill of materials (SBOM) untuk memetakan dependensi kode.
  • Menggunakan runtime behavior analysis untuk mendeteksi anomali eksekusi.
  • Penerapan Zero Trust Architecture (ZTA) di seluruh rantai pengembangan.

9. Analisis Strategis: Serangan terhadap Kepercayaan Global

SolarStorm 2.0 bukan hanya serangan teknis — ini adalah serangan terhadap kepercayaan.
Dengan memanipulasi sistem pembaruan yang seharusnya aman, para penyerang berhasil memanfaatkan kelemahan paling mendasar dalam dunia digital modern: kepercayaan terhadap vendor.

Para pakar menyebut serangan ini sebagai “krisis kepercayaan global dalam keamanan perangkat lunak”, dan memprediksi akan terjadi gelombang besar reformasi industri IT dalam beberapa tahun ke depan.

SolarStorm 2.0 menjadi simbol bagaimana dunia siber telah memasuki era baru: ketika keamanan bukan lagi soal menambal kerentanan, tetapi soal mempertanyakan siapa yang benar-benar bisa dipercaya.

Related Tags:

#supply chain attack #APT #SolarWinds #malware persistence #software compromise

SECURITY RECOMMENDATIONS

Pastikan untuk mengimplementasikan kontrol keamanan yang tepat dan tetap waspada terhadap indikator ancaman yang disebutkan dalam laporan ini.

Komentar