Peretas menyalahgunakan fitur antivirus Triofox untuk menyebarkan alat akses jarak jauh

Peretas mengeksploitasi kerentanan kritis dan fitur antivirus bawaan di platform berbagi file dan akses jarak jauh Triofox Gladinet untuk mencapai eksekusi kode jarak jauh dengan hak istimewa SISTEM.

Masalah keamanan yang dimanfaatkan dalam serangan ini adalah CVE-2025-12480 dan dapat digunakan untuk melewati otentikasi dan mendapatkan akses ke halaman pengaturan aplikasi.

Peneliti keamanan di Grup Intelijen Ancaman Google (GTIG) menemukan aktivitas berbahaya pada 24 Agustus, setelah cluster ancaman dilacak secara internal ketika UNC6485 menargetkan server Triofox yang menjalankan versi 16.4.10317.56372, yang dirilis pada 3 April.

Penyebab utama CVE-2025-12480 adalah kesenjangan logika kontrol akses di mana akses admin diberikan ketika host URL permintaan aplikasi sama dengan ‘localhost’.

Hal ini memungkinkan penyerang untuk memalsukan nilai ini melalui header HTTP Host dan melewati semua pemeriksaan otentikasi.

Mandiant menjelaskan bahwa, jika parameter opsional TrustedHostIp tidak dikonfigurasi di web.config, pemeriksaan ‘localhost’ menjadi satu-satunya penjaga gerbang, membiarkan instalasi default terkena akses yang tidak diautentikasi.

Perbaikan untuk CVE-2025-12480 tersedia di Triofox versi 16.7.10368.56560, dirilis pada 26 Juli, dan peneliti GTIG mengonfirmasi dengan vendor bahwa kelemahan tersebut telah diatasi.

Menyalahgunakan fitur antivirus

Investigasi Mandiant menentukan bahwa UNC6485 mengeksploitasi kerentanan dengan mengirimkan permintaan HTTP GET dengan host lokal di URL Perujuk HTTP.

“Kehadiran header host localhost dalam permintaan yang berasal dari sumber eksternal sangat tidak teratur dan biasanya tidak diharapkan dalam lalu lintas yang sah,” peneliti menjelaskan.

Ini memberi mereka akses ke AdminDatabase.aspx halaman konfigurasi, yang diluncurkan untuk mengatur Triofox setelah instalasi.

Dengan menggunakan alur kerja pengaturan, penyerang membuat akun administrator baru bernama ‘Admin Cluster’ dan menggunakannya untuk mengunggah skrip berbahaya. Kemudian mereka mengkonfigurasi Triofox untuk menggunakan jalurnya sebagai lokasi pemindai antivirus.

GTIG menjelaskan bahwa “file yang dikonfigurasi sebagai lokasi pemindai anti-virus mewarisi hak istimewa akun proses induk Triofox, berjalan di bawah konteks akun SISTEM,” yang memungkinkan penyerang mencapai eksekusi kode.

Para peneliti mengatakan bahwa kumpulan jahat tersebut mengeksekusi pengunduh PowerShell untuk mengambil muatan lain, penginstal Zoho UEMS, dari alamat eksternal.

Zoho UEMS digunakan untuk menerapkan Zoho Assist dan AnyDesk pada host yang disusupi, yang digunakan untuk akses jarak jauh dan operasi pergerakan lateral.

Penyerang juga mengunduh dan menggunakan alat Plink dan PuTTY untuk membuat terowongan SSH dan meneruskan lalu lintas jarak jauh ke port RDP host (3389).

Meskipun Mandiant memvalidasi bahwa kerentanan yang dieksploitasi (CVE-2025-12480) telah diatasi di Triofox 16.7.10368.56560, mereka merekomendasikan administrator sistem untuk menerapkan pembaruan keamanan terbaru yang ada di versi 16.10.10408.56683dirilis pada 14 Oktober.

Rekomendasi lainnya adalah mengaudit akun admin, dan memeriksa apakah mesin antivirus Triofox tidak diatur untuk menjalankan skrip atau binari yang tidak sah.

Laporan GTIG memberikan daftar indikator kompromi (IoC) untuk membantu para pembela HAM menggagalkan serangan-serangan ini. Detailnya juga tersedia di VirusTotal.

Bulan lalu, Pemburu melaporkan bahwa peretas mengeksploitasi kerentanan penyertaan file lokal zero-day (CVE-2025-11371) di produk Gladinet CentreStack dan Triofox untuk mengakses file sistem tanpa autentikasi.

Cacatnya, yang dimanfaatkan untuk setidaknya tiga intrusi yang berhasil ke dalam jaringan perusahaan, adalah diperbaiki seminggu kemudiandalam versi 16.10.10408.56683 (terbaru).