File shortcut atau pintasan Windows (.lnk) umumnya terlihat sepele namun menyimpan potensi ancaman siber serius. Para peneliti keamanan mencatat peningkatan signifikan malware yang disalurkan melalui file shortcut. Trik ini menjadi lebih populer setelah Microsoft memperketat aturan makro berbahaya; pelaku siber beralih memanfaatkan .lnk sebagai vektor infeksi baru. Menariknya, banyak kampanye serangan terkini juga melibatkan file .lnk. Misalnya, riset Trend Micro akhir Maret 2025 melaporkan sedikitnya 11 kelompok APT (termasuk asal Korea Utara, Iran, Rusia, dan Tiongkok) mengeksploitasi celah dalam format .lnk untuk menyerang korban dengan perintah tersembunyi. Fenomena ini menunjukkan bahwa serangan berbasis shortcut merupakan “ancaman lama” yang masih efektif hingga kini.

Apa Itu Shortcut File (.lnk) dan Mengapa Rentan Disalahgunakan?

File shortcut Windows (.lnk) adalah jenis file metadata yang berfungsi sebagai penunjuk (pointer) ke file lain, program, folder, atau sumber daya jaringan dalam sistem operasi. Dengan kata lain, .lnk tidak berisi data sebenarnya melainkan instruksi untuk membuka target tertentu. Secara visual, shortcut ini tampak seperti ikon file biasa. Bahkan ketika opsi “Hide Extensions” dimatikan, Windows tidak menampilkan ekstensi “.lnk” pada ikon tersebut, sehingga pengguna sering tidak menyadari bahwa mereka membuka sebuah shortcut. Kondisi ini dimanfaatkan pelaku jahat untuk menyamarkan file berbahaya seolah-olah file dokumen, gambar, atau aplikasi umum. Misalnya, sebuah file shortcut bernama Invoice.pdf.lnk dapat tampil seperti dokumen PDF normal sehingga pengguna terperdaya.

Kelebihan shortcut sebagai penunjuk juga menjadi kelemahan keamanan. File .lnk memiliki atribut yang dapat diedit (seperti target, direktori kerja, dan ikon). Penyerang dapat memodifikasi atribut-atribut ini untuk menjalankan perintah berbahaya. Dengan memanfaatkan target field, shortcut bisa disetel menjalankan program sistem standar (seperti cmd.exe atau PowerShell) dengan argumen tertentu. Akibatnya, .lnk dapat diprogram untuk menjalankan perintah tersembunyi secara otomatis ketika diklik korban. Misalnya, shortcut yang tampak normal mungkin berisi instruksi menjalankan skrip PowerShell rahasia untuk mengunduh malware. Singkatnya, sifat file .lnk yang hanya berupa penunjuk mudah disalahgunakan karena kemampuannya untuk menyisipkan perintah jahat tanpa terlihat mencolok.

Sejarah dan Evolusi Serangan Shortcut File

Penyalahgunaan file shortcut bukanlah hal baru. Sejak pertengahan 2010-an, pelaku siber sudah mulai menggunakan .lnk sebagai vektor serangan. Sebagai gambaran, file .lnk telah digunakan dalam serangan malware bahkan sejak 2013. Pada masa awal tersebut, beberapa trojan pengunduh (downloader) menggunakan teknik ini karena dapat menyusup di lampiran email tanpa mencurigakan. Sejumlah kampanye terkenal pada 2016–2017 (seperti ransomware PowerWare dan varian Fareit) mengandalkan PowerShell atau skrip tersembunyi, namun ketika pengguna menjadi lebih waspada terhadap makro Office, penjahat siber lantas beralih memakai shortcut .lnk sebagai metode alternatif.

Bukti semakin banyak di tahun-tahun berikutnya. McAfee Labs melaporkan lonjakan serangan dengan file .lnk pada paruh kedua 2022, di mana malware populer seperti Emotet, Qakbot, IcedID, dan BazarLoader disebarkan melalui lampiran shortcut. Peneliti mencatat kemudahan pemakaian .lnk: ia bisa dibuat manual dengan klik kanan, atau secara otomatis oleh aplikasi, bahkan tersedia “toolkit” khusus (mis. lnkbombs) untuk membuat shortcut berbahaya. Fenomena ini diperkuat oleh perubahan kebijakan Microsoft yang memblokir makro berbahaya secara default: pelaku kemudian beralih ke file .lnk yang tidak diblokir.

Di sisi lain, muncul pula varian malware khusus yang mengedarkan .lnk jahat. Sebagai contoh, builder ransomware “Quantum” di pasar gelap (dark web) menjual alat untuk membuat .lnk dengan kemampuan ekstra (seperti bypass UAC, eksekusi tertunda, penjadwalan tugas, dan penggunaan ekstensi ganda). Serangan dan kampanye semacam ini terus berkembang. Menjelang 2025, lebih dari seribu sampel .lnk berbahaya teridentifikasi yang mengeksploitasi kerentanan baru di Windows (dikenal sebagai ZDI-CAN-25373) untuk menyembunyikan perintah jahat dalam shortcut. Data global menunjukkan kampanye seperti Astaroth, IcedID, dan Qbot secara konsisten menggunakan trik ini. Dengan demikian, evolusi serangan shortcut file menunjukkan pergeseran teknik lama ke metode baru yang tetap efisien di berbagai tahap serangan.

Cara Kerja Serangan Shortcut (.lnk)

Secara teknis, file .lnk menyimpan informasi tentang target (program atau perintah yang akan dijalankan) beserta argumen dan atribut lainnya. Saat pengguna membuka shortcut, Windows mengeksekusi target sesuai yang tertulis di sana. Penyerang memanfaatkan mekanisme ini dengan menyusun .lnk yang menjalankan perintah tersembunyi atau skrip berbahaya tanpa sepengetahuan korban. Misalnya, shortcut dapat dikonfigurasi untuk menjalankan PowerShell.exe dengan skrip download malware dari internet, atau membuka cmd.exe dengan serangkaian perintah tersembunyi. Cybereason menggarisbawahi bahwa .lnk dapat dipadukan dengan teknik lain seperti DLL sideloading atau eksekusi fileless melalui lolbins (binaries sah Windows), sehingga tindakan jahat lebih sulit dideteksi oleh sistem keamanan.

Sebuah studi perilaku .lnk berbahaya menunjukkan contoh konkret: suatu file shortcut .lnk menjalankan PowerShell untuk mengunduh dua payload malware dari URL eksternal, kemudian membuat Scheduled Task sehingga malware tersebut berjalan otomatis di kemudian hari. Dengan teknik ini, shortcut tidak hanya menginfeksi sistem sekali jalan, tapi juga menanamkan malware secara persisten di latar belakang. Metode serupa digunakan banyak kampanye: penyerang sering menyelipkan perintah download atau dropper untuk mendapatkan program jahat tambahan, lalu menutup jejaknya setelah selesai. Intinya, file shortcut bekerja sebagai “pintu belakang” yang menyembunyikan perintah eksekusi berbahaya, memicu exploit begitu pengguna memicunya.

Ciri-ciri File Shortcut Berbahaya

Ada beberapa karakteristik yang dapat membantu mengenali shortcut .lnk berbahaya:

• Nama dan ikon menipu: Shortcut jahat sering memakai nama atau ikon yang tampak umum, bahkan menambahkan ekstensi ganda. Contoh: berkas bernama Invoice.pdf.lnk akan muncul mirip dokumen PDF biasa. Pengguna awam mudah tertipu karena tampilan file seolah bukan shortcut.
• Ekstensi tersembunyi: Windows tidak menampilkan huruf “.lnk” pada ikon, sehingga shortcut dan target asli sulit dibedakan. Fitur ini memudahkan penyamaran, apalagi jika file yang asli disembunyikan di folder tersembunyi.
• Ukuran file tidak wajar: Banyak shortcut berisi payload atau perintah panjang namun ukuran file .lnk-nya sangat kecil (kadang 0 KB). Jika ditemukan shortcut berjuntai argumen namun ukurannya hanya beberapa kilobyte, patut curiga.
• Argumen mencurigakan: Pada Properties shortcut, bagian “target” dapat mengandung serangkaian argumen perintah. Shortcut berbahaya biasanya memiliki lebih dari empat argumen, seringkali diacak atau berisi karakter aneh. Misalnya, target powershell.exe diikuti skrip terenskripsi atau alamat URL mencurigakan.
• Lokasi aneh: Shortcut mencurigakan kadang tiba-tiba muncul di drive USB, di folder Startup, atau di folder tak lazim lain tanpa dibuat pengguna. Shortcut baru muncul setelah klik tautan phishing atau otomatis terkompres di lampiran.
• Lokalitas shortcut: Jika shortcut berada di drive eksternal atau folder bersama, padahal tidak Anda buat, besar kemungkinan itu bagian malware.

Dengan memeriksa ciri-ciri di atas, pengguna dapat lebih waspada terhadap file .lnk yang berpotensi merugikan.

Studi Kasus Terkini Serangan Shortcut File

Studi kasus global mengonfirmasi bahwa serangan lewat .lnk terus aktif digunakan kelompok jahat. Salah satu contoh fenomenal adalah eksploitasi 0-day (ZDI-CAN-25373) pada file shortcut Windows yang terungkap pada Maret 2025. Trend Micro mencatat sedikitnya 11 grup APT (negara-adjacent maupun kriminal) memanfaatkan kerentanan ini. Antara lain, kelompok APT yang terkait Korea Utara bertanggung jawab atas hampir 45% serangan tersebut. Kampanye ini berlangsung sejak 2017, dengan sasaran entitas pemerintahan, finansial, telekomunikasi, dan energi di berbagai benua. Para penyerang memanipulasi metadata .lnk untuk menyembunyikan kode berbahaya sehingga shortcut tampak sah. Jika korban membuka shortcut yang terinfeksi, ia akan tanpa sadar menjalankan payload jahat (malware mata-mata, pencuri data, dll.).

Selain grup APT, kampanye malware kejahatan terorganisir juga memanfaatkan .lnk. Misalnya, laporan McAfee Labs (2022) menemukan bahwa trojan bank Emotet dan Qakbot, serta droppers IcedID dan BazarLoader, banyak disebarkan melalui lampiran .lnk pada email spam. Pada kasus ini, pengguna menerima email yang tampak sah lengkap dengan file shortcut; ketika di-klik, .lnk memicu PowerShell untuk mengunduh trojan ke sistem korban. Skenario serupa terjadi pada kampanye Astaroth dan Qbot lainnya, sebagaimana dianalisis Cybereason yang menyebut kampanye tersebut sering menyertakan file .lnk dalam tahapan infeksi awal.

Contoh menarik lainnya adalah “builder” ransomware dan backdoor di pasar gelap. Toolkit seperti Quantum Ransomware menawarkan fitur pembuatan .lnk jahat dengan fungsionalitas tambahan (bypass UAC, tunda eksekusi, sembunyikan proses). Artinya, bahkan pihak ketiga dapat dengan mudah membuat serangan .lnk tanpa penguasaan teknis tinggi. Secara keseluruhan, kasus-kasus terkini menunjukkan file shortcut adalah sarana distribusi malware yang disukai hampir di semua jenis serangan: baik yang dimotivasi mata-mata negeri, maupun kriminal finansial, hingga eksperimentasi malware baru.

Strategi Perlindungan terhadap Ancaman Shortcut Malware

Untuk menghadapi ancaman .lnk, diperlukan kombinasi langkah teknis dan kebijakan keamanan yang baik. Beberapa strategi penting meliputi:

• Edukasi pengguna: Latih staf agar tidak sembarangan membuka file dari sumber tak dikenal, terutama file yang muncul tiba-tiba di email atau flash drive. Tekankan agar memeriksa ekstensi file dan peringatan sistem saat menjalankan shortcut yang mencurigakan.
• Keamanan email: Konfigurasikan sistem keamanan email (spam filter, gateway) untuk memindai lampiran dan menyaring file .lnk berpotensi berbahaya. Beberapa solusi dapat mengarantina lampiran dengan ekstensi .lnk atau menonaktifkan pembukaan otomatisnya.
• Pengaturan tampilan file: Gunakan Group Policy atau pengaturan Windows untuk selalu menampilkan ekstensi file lengkap pada File Explorer. Dengan demikian, ekstensi “.lnk” yang tersembunyi bisa terlihat, memudahkan deteksi shortcut tak biasa.
• Pembatasan eksekusi: Kurangi izin Windows Script Host (WSH) atau PowerShell bagi pengguna yang tidak memerlukannya. Terapkan kebijakan AppLocker atau Software Restriction Policies untuk mencegah eksekusi skrip dari lokasi tak terpercaya.
• Upgrade dan patch: Pastikan sistem operasi dan aplikasi selalu diperbarui. Perbaikan keamanan yang dirilis Microsoft dan vendor lain dapat menutup celah yang disalahgunakan .lnk. Juga disarankan meng-upgrade PowerShell ke versi terbaru (Windows PowerShell 5 ke atas) dan mengaktifkan logging eksekusi melalui Group Policy untuk memudahkan audit terhadap aktivitas mencurigakan.
• Pengawasan dan logging: Aktifkan logging peristiwa file dan proses (misalnya Windows Event Logging, Sysmon) untuk mendeteksi pembuatan file .lnk baru atau proses aneh yang dipicu oleh explorer.exe. Cybereason menyarankan memburu proses anak (child processes) dari explorer.exe yang tidak lazim, karena mereka seringkali menandai eksekusi tersembunyi oleh shortcut.
• Pengamanan USB dan folder: Nonaktifkan fitur autorun untuk USB dan batasi akses folder Startup pada komputer pengguna. Dengan demikian, shortcut baru yang otomatis aktif dapat dihindari.

Implementasi kombinasi langkah di atas dapat memperkecil peluang shortcut berbahaya berhasil dieksekusi. Selalu utamakan prinsip keamanan berlapis (defense in depth) dan cadangan data yang rutin, agar serangan yang lolos tetap dapat diminimalisir dampaknya.

Langkah Mitigasi Jika Sistem Sudah Terinfeksi

Jika sebuah sistem terindikasi terinfeksi melalui file .lnk, tindakan cepat sangat krusial. Beberapa langkah mitigasi yang direkomendasikan adalah:

1. Isolasi sistem: Segera putuskan koneksi jaringan atau matikan perangkat yang terinfeksi agar malware tidak menyebar ke host lain.
2. Pemindaian dan pembersihan: Jalankan pemindaian antivirus/malware offline (misalnya Windows Defender Offline) untuk mendeteksi dan menghapus file berbahaya. Hapus semua file .lnk mencurigakan yang ditemukan.
3. Hapus artefak malware: Periksa Scheduled Tasks, Registry, dan folder Startup untuk entri atau file yang dibuat malware (misalnya skrip atau program hasil download). Hapus entri-entri tersebut jika ditemukan.
4. Pemulihan sistem: Jika infeksi parah, pertimbangkan mengembalikan sistem ke kondisi bersih terakhir melalui cadangan (backup) atau System Restore. Dalam kasus ekstrim, ulangi instalasi OS setelah menyimpan data penting.
5. Pergantian kredensial: Ubah password dan kredensial penting (terutama jika ada kecurigaan data kredensial dicuri). Lakukan audit akses selama periode sebelumnya.
6. Investigasi forensik: Gunakan tools analisis (misal LnkParse3, VirusTotal, atau EDR) untuk menelusuri asal muasal serangan dan kompensasi risiko. Data forensik membantu memastikan serangan tertutup dan memperbaiki kebijakan keamanan.
7. Pemantauan lanjutan: Setelah pembersihan, tingkatkan pengawasan terhadap sistem tersebut. Periksa berulang file .lnk baru atau proses aneh untuk meyakinkan bahwa infeksi telah sepenuhnya teratasi.

Kombinasi tindakan di atas, ditambah laporan kejadian ke tim keamanan TI, dapat mempercepat pemulihan dan mencegah kekambuhan serangan. Yang terpenting, jangan abaikan indikasi infeksi sekecil apapun agar kerusakan tidak meluas.

Penutup

Meski tergolong metode lama dalam dunia siber, serangan melalui file shortcut (.lnk) terbukti tetap relevan dan efektif sampai sekarang. Keberhasilan teknik ini terletak pada wujud file .lnk yang sah dan fleksibel serta celah penerapan yang sulit ditutup sepenuhnya. Fakta bahwa pihak peretas (baik kriminal maupun negara) masih rutin mengandalkan .lnk dalam kampanye mereka menunjukkan perlunya kewaspadaan kontinu. Pengguna komputer dan organisasi perlu mengenali bahaya file pintasan yang tersamarkan, serta menerapkan langkah keamanan proaktif seperti yang telah dijelaskan. Dengan demikian, serangan “shortcut” yang dulu dianggap kuno tidak sampai menjadi lubang besar dalam pertahanan keamanan siber saat ini.