Sebuah investigasi terbaru mengungkap fakta mengejutkan: Microsoft mempekerjakan insinyur yang berbasis di Tiongkok untuk melakukan pemeliharaan perangkat lunak SharePoint, platform kolaborasi yang baru-baru ini diretas oleh peretas yang disponsori oleh negara Tiongkok.

Pengungkapan ini memicu kekhawatiran serius tentang praktik keamanan siber dan potensi ancaman orang dalam (insider threat) pada sistem infrastruktur penting yang digunakan oleh ratusan lembaga pemerintah dan perusahaan swasta. Insiden ini, yang diungkapkan Microsoft bulan lalu, melibatkan serangan canggih pada instalasi SharePoint "OnPrem" yang dimulai pada awal 7 Juli 2025.

Peretas Tiongkok berhasil mengeksploitasi kerentanan dalam versi on-premises dari SharePoint, mendapatkan akses tidak sah ke sistem komputer di beberapa target profil tinggi, termasuk National Nuclear Security Administration dan Department of Homeland Security di AS.

Serangan ini menunjukkan kapabilitas ancaman persisten tingkat lanjut (Advanced Persistent Threat), di mana peretas mampu mempertahankan akses mereka bahkan setelah Microsoft merilis patch keamanan awal pada 8 Juli.

Analisis oleh ProPublica, melalui tangkapan layar sistem pelacakan kerja internal Microsoft, mengidentifikasi bahwa tim teknis yang berbasis di Tiongkok telah bertanggung jawab atas pemeliharaan dan perbaikan bug SharePoint selama beberapa tahun. Penemuan ini menambah dimensi yang mengkhawatirkan pada insiden peretasan tersebut, karena personel yang sama yang ditugaskan menjaga integritas perangkat lunak mungkin secara tidak sengaja menciptakan celah yang bisa dieksploitasi oleh pihak musuh.

Baca Juga: Lazarus Group Gunakan Teknik Social Engineering 'ClickFix' untuk Serang Organisasi Global

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengonfirmasi bahwa eksploitasi ini memungkinkan penyerang untuk "sepenuhnya mengakses konten SharePoint, termasuk sistem file dan konfigurasi internal, serta mengeksekusi kode melalui jaringan."

Eksploitasi SharePoint menunjukkan taktik persisten yang canggih yang memungkinkan peretas mempertahankan akses bahkan setelah upaya perbaikan awal dilakukan. Ketika Microsoft merilis patch keamanan pertama, para penyerang dengan cepat beradaptasi untuk melewati perlindungan baru, memaksa perusahaan untuk mengembangkan "perlindungan yang lebih kuat" di patch berikutnya.

Mekanisme persisten ini diduga melibatkan penanaman kode berbahaya di dalam file konfigurasi SharePoint. Dengan memodifikasi modul autentikasi atau membuat akun administrator tersembunyi, penyerang bisa membangun backdoor di dalam infrastruktur SharePoint. Pendekatan ini memungkinkan akses berkelanjutan ke data sensitif pemerintah dan perusahaan, sambil tetap tidak terdeteksi oleh alat pemantauan keamanan standar.

Microsoft telah mengakui implikasi keamanan dari temuan ini dan mengumumkan rencana untuk merelokasi operasi dukungan yang berbasis di Tiongkok ke lokasi alternatif. Meskipun Microsoft menekankan bahwa semua pekerjaan diawasi oleh tim di AS dengan tinjauan keamanan wajib, para ahli mempertanyakan apakah pengawasan semacam itu cukup untuk memitigasi risiko inheren dari personel asing yang menangani pemeliharaan sistem sensitif.