Server Hacker Bocor, Ribuan Situs WordPress Dipasangi Backdoor


Ilustrasi Aplikasi WordPress

Ilustrasi Aplikasi WordPress

Sebuah kesalahan sederhana yang dilakukan kelompok pelaku kejahatan siber justru membuka tabir salah satu operasi peretasan situs web terbesar yang pernah terungkap tahun ini. Sebuah server milik kelompok tersebut dibiarkan terbuka ke internet tanpa perlindungan selama hampir tiga minggu, sehingga seluruh isi server dapat diakses oleh siapa saja, termasuk para peneliti keamanan siber.

Dari server yang tidak diamankan itu, peneliti menemukan berbagai informasi penting, mulai dari alat peretasan, script eksploitasi, riwayat aktivitas operator, hingga daftar target yang berisi lebih dari 1,4 juta situs web. Kebocoran data ini memberikan gambaran yang sangat rinci mengenai bagaimana sebuah kelompok kriminal siber menjalankan operasi kompromi situs web dalam skala besar secara terorganisir.

Operasi tersebut kini dilacak dengan nama WP-SHELLSTORM. Berdasarkan hasil investigasi perusahaan keamanan siber SOCRadar, kelompok ini beroperasi sebagai webshell access broker, yakni pihak yang meretas situs web, memasang backdoor berupa webshell, kemudian menjual akses tersebut kepada pelaku lain yang ingin memanfaatkan server korban untuk berbagai aktivitas ilegal.

 

Server Terbuka Ungkap Seluruh Operasi

Kasus ini bermula ketika tim intelijen ancaman SOCRadar menemukan sebuah server sewaan di Amerika Serikat dengan alamat IP 137.175.93[.]126 pada 11 Juni 2026. Server tersebut ternyata dapat diakses tanpa autentikasi apa pun karena operator lupa menutup layanan Python Web Server yang digunakan untuk memindahkan file.

Akibat kelalaian tersebut, direktori server terbuka selama sekitar 22 hari, sehingga siapa pun dapat mengakses isinya.

Di dalam server terdapat sekitar 800 MB data yang tersebar dalam 434 file. Isinya sangat beragam dan menggambarkan keseluruhan operasi kelompok tersebut, antara lain:

  • Berbagai jenis webshell.
  • Script eksploitasi untuk berbagai kerentanan.
  • Daftar jutaan target yang telah dipindai.
  • Hasil pemindaian otomatis.
  • Riwayat perintah terminal yang dijalankan operator.
  • Konfigurasi server command-and-control (C2).
  • File konfigurasi layanan FOFA.

Menariknya, bukan hanya SOCRadar yang menemukan server tersebut. Tim peneliti Ctrl-Alt-Intel juga menemukan direktori yang sama melalui platform Hunt.io dan mempublikasikan analisis mereka lebih dahulu pada 22 Juni 2026. Laporan resmi SOCRadar sendiri baru dipublikasikan pada 9 Juli 2026.

Temuan dua tim independen tersebut saling melengkapi dan memperkuat gambaran mengenai cara kerja WP-SHELLSTORM.

 

Menargetkan WordPress dan Joomla

Analisis terhadap toolkit yang ditemukan menunjukkan bahwa mayoritas target merupakan situs berbasis WordPress, meskipun sejumlah situs Joomla juga ikut menjadi sasaran. Kelompok ini tidak menggunakan teknik eksploitasi baru atau zero-day. Sebaliknya, mereka memanfaatkan berbagai kerentanan yang sebenarnya sudah diketahui publik dan bahkan telah tersedia pembaruannya.

Untuk menemukan target, operator memanfaatkan FOFA, mesin pencari perangkat dan layanan internet asal China yang memiliki fungsi serupa dengan Shodan. Dari sana mereka memperoleh daftar situs yang menggunakan plugin atau aplikasi tertentu beserta versinya.

Setelah target ditemukan, sistem otomatis akan mencoba mengeksploitasi setiap situs yang masih menjalankan versi rentan. Jika berhasil, server korban langsung dipasangi webshell yang memberikan akses jarak jauh kepada pelaku. Melalui webshell tersebut, penyerang dapat:

  • Menjalankan berbagai perintah pada server.
  • Membaca maupun mengunduh file penting.
  • Mencuri kredensial administrator.
  • Mengunggah malware tambahan.
  • Bergerak lebih jauh ke dalam jaringan korban.
  • Mengambil alih server untuk digunakan dalam operasi berikutnya.
  • Mengeksploitasi Puluhan Kerentanan

Toolkit WP-SHELLSTORM diketahui mampu mengeksploitasi 27 kerentanan berbeda pada berbagai aplikasi web. Namun demikian, sebagian besar keberhasilan ternyata berasal dari hanya beberapa celah keamanan saja. Yang paling dominan adalah kerentanan pada plugin Breeze Cache untuk WordPress dengan identitas CVE-2026-3844.

Log internal kelompok menunjukkan bahwa lebih dari 45.000 situs menjadi target eksploitasi menggunakan celah ini. Dari jumlah tersebut, sekitar 17.000 situs dilaporkan berhasil dipasangi backdoor.

Meski demikian, tingkat keberhasilan tersebut tidak berlaku untuk seluruh pengguna Breeze. Kerentanan hanya dapat dimanfaatkan apabila administrator mengaktifkan opsi "Host Files Locally – Gravatars", sebuah fitur yang secara bawaan tidak aktif.

Artinya, sebagian besar pengguna Breeze sebenarnya tidak terdampak selama mereka tidak mengaktifkan konfigurasi tersebut.

 

Benarkah 1,4 Juta Situs Diretas?

Salah satu angka yang paling banyak menarik perhatian adalah klaim mengenai 1,4 juta situs web. Namun para peneliti menegaskan bahwa angka tersebut sering kali disalahartikan. Jumlah 1,4 juta bukanlah jumlah situs yang berhasil diretas, melainkan jumlah domain yang terdapat di dalam daftar target hasil pemindaian.

Daftar tersebut mencakup berbagai platform, termasuk WordPress, Joomla, dan sistem manajemen konten lainnya. File target terbesar bahkan berisi 587.034 situs Joomla. Sementara itu, jumlah situs yang benar-benar berhasil dikompromikan jauh lebih kecil.

Menurut Ctrl-Alt-Intel, terdapat 25.195 situs yang memiliki bukti kompromi atau validasi bahwa sistem telah berhasil ditembus. Di sisi lain, SOCRadar menghitung sekitar 5.700 webshell yang masih aktif pada saat investigasi dilakukan.

Perbedaan angka tersebut muncul karena metode penghitungan kedua tim berbeda. Ctrl-Alt-Intel menghitung seluruh bukti kompromi yang tervalidasi, sedangkan SOCRadar hanya menghitung webshell yang masih aktif. 

Salah satu contoh menunjukkan betapa besarnya selisih antara target dan korban nyata. Sebuah kerentanan Joomla digunakan terhadap lebih dari 560.000 target, tetapi hanya berhasil menginfeksi 77 situs. Fakta ini menunjukkan bahwa sebuah situs yang masuk daftar pemindaian belum tentu berhasil diretas.

 

Backdoor Down.php Menjadi Senjata Utama

Peneliti juga menemukan bahwa webshell utama yang digunakan kelompok ini adalah sebuah file bernama down.php. File tersebut dibuat dengan teknik obfuscation hingga empat lapisan sehingga sangat sulit dianalisis menggunakan metode biasa.

Berdasarkan hasil pemeriksaan kode, down.php diduga merupakan pengembangan dari webshell open source asal China yang dikenal sebagai BestShell.

Setelah aktif, backdoor tersebut mampu melakukan berbagai fungsi penting, seperti mengelola file, menjalankan perintah sistem, membuka reverse shell, melakukan pemindaian jaringan internal, hingga mengidentifikasi perangkat lunak keamanan yang berjalan pada server korban.

Kemampuan tersebut membuat operator dapat mengendalikan server korban secara penuh tanpa harus terus-menerus mengeksploitasi kerentanan yang sama.

 

SNOWLIGHT dan VShell Digunakan untuk Mempertahankan Akses

Selain webshell, kelompok ini juga menggunakan SNOWLIGHT sebagai dropper untuk memasang malware VShell. VShell dirancang agar sulit dikenali administrator. Malware ini menyamarkan prosesnya menggunakan nama [kworker/0:2], sehingga terlihat seperti thread kernel Linux yang sah.

Padahal thread kernel asli tidak memiliki executable, command line, maupun koneksi jaringan. Jika sebuah proses dengan nama tersebut memiliki karakteristik tersebut, besar kemungkinan proses itu merupakan malware.

Rantai serangan SNOWLIGHT menuju VShell sebenarnya bukan teknik baru. Pada April 2025, perusahaan keamanan Sysdig pernah menghubungkannya dengan aktivitas kelompok yang diduga terkait pemerintah China, yaitu UNC5174.

Namun demikian, peneliti mengingatkan bahwa penggunaan VShell saja belum cukup untuk menyimpulkan adanya keterlibatan negara karena malware tersebut telah banyak digunakan oleh komunitas kriminal siber berbahasa Mandarin.

 

Menemukan Jejak Operasi Sebelumnya

Server yang sama juga mengungkap aktivitas lain yang dilakukan kelompok tersebut sebelum kampanye WordPress berlangsung. 

Pada awal Mei 2026, mereka diketahui menjalankan operasi yang lebih senyap dengan menargetkan sistem Java milik perusahaan. Dalam operasi tersebut, pelaku berhasil mengambil 613 file konfigurasi dari 11 sistem yang berasal dari sembilan perusahaan di sektor fintech, e-commerce, logistik, gaming, dan elektronik.

Data yang dicuri meliputi kredensial berbagai layanan cloud seperti AWS, Alibaba Cloud, Oracle Cloud, Tencent Cloud, DigitalOcean, password database, hingga RSA Private Key milik Alipay. Serangan tersebut memanfaatkan kerentanan lama pada Nacos Configuration Server (CVE-2021-29441) yang memungkinkan penyerang melewati autentikasi hanya dengan memalsukan sebuah header HTTP.

SOCRadar memperkirakan kelompok ini lebih dahulu mengumpulkan kredensial perusahaan yang bernilai tinggi sebelum beralih menjalankan operasi kompromi WordPress secara massal untuk memperoleh keuntungan finansial yang lebih besar.

 

Dugaan Asal Kelompok

Baik SOCRadar maupun Ctrl-Alt-Intel menilai dengan tingkat keyakinan menengah hingga tinggi bahwa operator WP-SHELLSTORM berasal dari China atau setidaknya merupakan penutur bahasa Mandarin.

Kesimpulan tersebut didasarkan pada beberapa indikator, seperti penggunaan Bahasa Mandarin Sederhana di dalam kode dan riwayat perintah, pemanfaatan layanan FOFA yang umumnya digunakan di China, serta penggunaan tool seperti Godzilla WebShell dan VShell yang populer di komunitas keamanan siber berbahasa Mandarin.

Meski demikian, SOCRadar lebih condong menyimpulkan bahwa kelompok ini memiliki motif ekonomi dibandingkan menjalankan operasi spionase yang didukung pemerintah. Nama-nama seperti tance, chen-kk, dan chenyk memang muncul dalam sejumlah file, tetapi peneliti menegaskan bahwa nama tersebut belum dapat dijadikan bukti identitas operator.

 

Kesalahan Fatal yang Membongkar Operasi

Ironisnya, kelompok yang memiliki toolkit cukup canggih ini justru melakukan kesalahan yang sangat mendasar. Mereka membiarkan server terbuka tanpa autentikasi, menyimpan file konfigurasi penting, meninggalkan riwayat perintah terminal, serta tidak menghapus berbagai log operasional.

Saat menyadari keberadaan peneliti antara 2 hingga 4 Juli 2026, operator sempat menghapus sebagian log aktivitas. Namun tindakan tersebut terlambat karena seluruh data penting telah lebih dahulu berhasil diunduh dan dianalisis.

Kesalahan serupa pernah terjadi pada Maret 2026 ketika kelompok APT28 atau Fancy Bear asal Rusia tanpa sengaja membocorkan alat phishing dan log operasinya melalui direktori server yang terbuka dalam kampanye yang dikenal sebagai Operation Roundish.

 

Langkah Mitigasi bagi Administrator

Temuan ini menjadi pengingat bahwa sebagian besar serangan tidak memanfaatkan teknik yang sangat canggih, melainkan mengeksploitasi sistem yang belum diperbarui.

Administrator WordPress disarankan segera memperbarui plugin Breeze ke versi 2.4.5 atau lebih baru apabila menggunakan fitur Host Files Locally – Gravatars. Selain itu, plugin lain seperti ThemeREX Addons, Simple File List, Custom CSS JS PHP, BerqWP, Ninja Forms Upload, WavePlayer, WPBookit, serta WP File Manager juga perlu diperbarui apabila masih menggunakan versi yang rentan.

Bagi pengguna Joomla, pembaruan JCE Editor ke versi 2.9.99.5 atau yang lebih baru menjadi prioritas karena kerentanan CVE-2026-48907 telah masuk dalam daftar Known Exploited Vulnerabilities (KEV) milik CISA.

Administrator yang menggunakan Nacos juga dianjurkan memperbarui sistem ke versi 2.2.1 atau lebih baru, mengaktifkan autentikasi, serta mengganti seluruh kredensial apabila server pernah terekspos ke internet.

Selain itu, administrator disarankan melakukan pencarian terhadap file webshell dengan pola nama seperti .bd.php, .wp-log.php, dan .brq-*.php, sekaligus memeriksa keberadaan proses Linux yang menyamar sebagai [kworker/X].

Sebagai langkah tambahan, seluruh infrastruktur yang diketahui digunakan kelompok ini, termasuk alamat IP dan domain yang telah diidentifikasi peneliti, sebaiknya segera diblokir melalui firewall maupun sistem deteksi ancaman.

 

Kesimpulan

Kasus WP-SHELLSTORM menunjukkan bahwa ancaman terhadap situs web tidak selalu berasal dari eksploitasi zero-day yang rumit. Sebaliknya, kombinasi antara kerentanan yang telah diketahui publik, proses pemindaian otomatis, serta banyaknya administrator yang terlambat memasang pembaruan keamanan sudah cukup bagi pelaku untuk mengompromikan ribuan server di seluruh dunia.

Di sisi lain, terbongkarnya operasi ini juga menjadi pelajaran bahwa kesalahan operasional sekecil apa pun dapat berakibat fatal, bahkan bagi kelompok kriminal siber yang berpengalaman. Hanya karena lupa menutup sebuah server internal, seluruh infrastruktur, metode kerja, alat peretasan, hingga daftar target mereka akhirnya dapat dipelajari oleh komunitas keamanan siber.

Temuan tersebut sekaligus menjadi pengingat bagi pengelola situs web agar selalu menerapkan pembaruan keamanan secara berkala, memantau aktivitas server, dan segera menutup setiap celah yang telah diketahui sebelum dimanfaatkan oleh pelaku kejahatan siber.

Bagikan artikel ini

Komentar ()

Video Terkait