Perangkat keamanan perimeter jaringan yang seharusnya menjadi benteng utama perlindungan kini justru menjadi titik kompromi paling fatal. Badan Keamanan Siber dan Infrastruktur AS (CISA), bersama NCSC Inggris, baru saja mengungkap bahwa sebuah badan sipil federal AS telah diretas pada September 2025.

Pelakunya adalah aktor Advanced Persistent Threat (APT) tingkat negara yang mengeksploitasi perangkat Cisco Firepower (menjalankan perangkat lunak ASA) menggunakan sebuah malware backdoor baru dan sangat persisten yang diberi nama FIRESTARTER. Penemuan ini bertepatan dengan pengungkapan intelijen global mengenai pergeseran masif taktik grup peretas afiliasi Tiongkok yang kini mempersenjatai router rumahan (SOHO) berskala besar.

Serangan terhadap instansi federal AS tersebut bermula dari eksploitasi dua kerentanan kritis yang kini telah di-patcholeh Cisco:

• CVE-2025-20333 (Skor CVSS: 9.9): Celah validasi masukan yang memungkinkan peretas jarak jauh (dengan kredensial VPN) mengeksekusi kode arbitrer sebagai root.
• CVE-2025-20362 (Skor CVSS: 6.5): Memungkinkan peretas tanpa autentikasi mengakses titik akhir URL terlarang.

Namun, menambal (patching) celah tersebut ternyata tidak mengusir peretas. FIRESTARTER (sebuah biner Linux ELF) dirancang khusus untuk bertahan pasca-eksploitasi. Malware ini menanamkan hook (metode intersepsi) langsung ke dalam LINA, mesin inti perangkat Cisco untuk pemrosesan jaringan.

Baca Juga: "fast16" Senjata Siber Berbasis Lua Pendahulu Stuxnet yang Memanipulasi Hukum Fisika

Untuk mengelola operasi di dalam perangkat, peretas menyebarkan toolkit yang disebut LINE VIPER. Alat ini mampu mem- bypass autentikasi VPN (AAA), merekam paket jaringan, menekan log peringatan sistem (syslog), hingga mencuri perintah CLI dari administrator asli.

Tingkat persistensi FIRESTARTER sangat mengerikan: malware ini selamat dari pembaruan firmware dan reboot perangkat biasa dengan memanipulasi daftar startup mount. Cisco (yang melacak aktivitas ini sebagai UAT4356 / Storm-1849) memberikan peringatan keras bahwa perintah reboot dari CLI tidak akan membersihkan implan ini. Administrator harus mencabut kabel daya secara fisik (Cold Restart) lalu melakukan reimaging total.

Pengungkapan FIRESTARTER ini sejalan dengan peringatan intelijen gabungan internasional terkait perubahan taktik kelompok peretas yang berafiliasi dengan Tiongkok, seperti Volt Typhoon dan Flax Typhoon.

Kelompok APT ini tidak lagi hanya membeli infrastruktur peretasan individu secara khusus. Mereka kini membajak jutaan router SOHO (Usaha Kecil/Menengah), kamera keamanan, dan perangkat IoT untuk membangun jaringan botnet rahasia.

Lalu lintas serangan spionase mereka diarahkan melalui berbagai perangkat IoT yang telah dikompromikan sebagai "simpul persinggahan" (traversal nodes), sebelum akhirnya keluar menyerang target infrastruktur kritis. Sergey Shykevich dari Check Point Software mencatat bahwa kampanye terbaru di 2026 (seperti Silver Dragon dan Operation TrueChaos) menargetkan infrastruktur edge karena perangkat-perangkat ini jarang di-patch, berada di luar jangkauan kontrol keamanan endpoint (seperti EDR), dan memberikan pijakan dengan visibilitas yang sangat rendah bagi tim blue team.

Eksploitasi Cisco ASA/Firepower oleh FIRESTARTER dan masifnya penggunaan botnet SOHO menegaskan satu kegagalan arsitektur modern: Ketergantungan berlebihan pada perangkat tepi (edge devices) konvensional seperti VPN.

Aktor ancaman menyadari bahwa begitu mereka berhasil menguasai gateway VPN perusahaan, mereka secara efektif berdiri di dalam tembok pertahanan, dengan akses tak terbatas ke seluruh jaringan internal, dan seringkali luput dari pengawasan mesin antivirus internal. Pertahanan perimeter sudah bobol. Keamanan tidak lagi ditentukan oleh seberapa tebal tembok firewall Anda, melainkan seberapa ketat Anda membatasi ruang gerak penyusup ketika mereka sudah berada di dalam tembok tersebut.