[seluruh] [2026] Terinfeksi Hanya dengan Membuka PDF? Kisah Lengkap Serangan Zero-Day Adobe Reader (CVE-2026-34621)

Artikel ini memberikan penjelasan menyeluruh tentang mekanisme, tindakan penanggulangan, dan IOC (Indikator Kekhawatiran) dari serangan zero-day Adobe Reader (CVE-2026-34621), yang ditemukan pada April 2026. Kerentanan yang sangat berbahaya ini memungkinkan penyerang untuk mencuri informasi PC dan bahkan mengendalikan komputer dari jarak jauh hanya dengan membuka file PDF.

 

Apa itu serangan zero-day?

Serangan zero-day adalah serangan siber yang mengeksploitasi kerentanan yang belum diketahui oleh produsen perangkat lunak atau yang belum mereka rilis tambalannya. Nama "zero-day" berasal dari fakta bahwa tidak ada jeda waktu (nol hari) antara ditemukannya kerentanan dan waktu yang dibutuhkan produsen untuk mengatasinya. Kata ini berasal dari arti "menjadi".

Ketika kerentanan zero-day dieksploitasi, pengguna tidak dapat mengambil tindakan pencegahan biasa seperti menerapkan patch keamanan, sehingga sangat sulit untuk melindungi diri hanya dengan perangkat lunak antivirus umum. Serangan zero-day Adobe Reader (CVE-2026-34621) yang ditemukan pada April 2026 adalah contoh tipikal dari hal ini. Serangan tersebut dieksekusi secara otomatis hanya dengan membuka file PDF. Kasus ini menarik perhatian karena sangat berbahaya.

 

Daftar isi

1. Ringkasan insiden: Serangan zero-day yang tidak aktif selama lebih dari empat bulan.
2. Mekanisme Serangan: Rantai Serangan Siber yang Selesai dalam 3 Tahap
3. Varian kedua juga ditemukan: para penyerang terus memperbarui versi mereka.
4. Siapa targetnya? Bahasa Rusia dan industri minyak dan gas adalah kata kunci utamanya.
5. Apa itu CVE-2026-34621? Itu adalah nomor identifikasi resmi dari kerentanan tersebut.
6. Daftar IOC (Indikator Pelanggaran): Data yang dapat digunakan untuk pemantauan internal
7. Tindakan yang dapat Anda lakukan sekarang juga: Apa yang harus dilakukan sampai patch dirilis
8. Reaksi daring: Suara para peneliti keamanan
9. Pertanyaan yang Sering Diajukan (FAQ)
10. Referensi dan Sumber

 

1. Ringkasan insiden: Serangan zero-day yang tidak aktif selama lebih dari empat bulan.

 

7 April 2026, Sistem deteksi eksploitasi tipe Sandbox "EXPMON" Pendiri peneliti keamanan Haifei Li Dia mengungkapkan kerentanan zero-day yang belum ditambal (kemudian didaftarkan sebagai CVE-2026-34621) pada mesin JavaScript Adobe Reader.

Jejak pertama serangan yang mengeksploitasi kerentanan ini tercatat di VirusTotal pada tahun 2018. 28 November 025 Dan, setidaknya hingga Maret 2026 ketika ditemukan, Kurang lebih 4 bulan atau lebih Telah ditemukan bahwa serangan zero-day ini terus berlanjut tanpa terdeteksi di seluruh dunia selama periode yang cukup lama.

Salah satu poin penting adalah tingkat deteksi awal yang rendah di VirusTotal. 5/64 Tingkat deteksinya sangat rendah. Karena menggabungkan teknik pengaburan tingkat lanjut dan kemampuan penghindaran sandbox, virus ini dianggap hampir tidak berbahaya oleh produk antivirus biasa.

 

 

2. Mekanisme Serangan: Rantai Serangan Siber yang Terdiri dari 3 Tahap

 

Ciri paling khas dari serangan zero-day ini adalah... Serangan dimulai secara otomatis saat pengguna membuka file PDF. Selesai. Tidak diperlukan tindakan tambahan, seperti mengklik tautan atau memberikan izin untuk menjalankan makro.

Serangan tersebut berlangsung dalam tiga tahap (fase) berikut:

 

Fase 1: Memulai loader (eksekusi otomatis)

Kolom formulir tersembunyi di PDF ( tombol1 ) tertanam di dalam, JSFuck JavaScript yang dienkripsi ini secara otomatis dipicu saat PDF dibuka. Ia mendekode sejumlah besar kode yang dikodekan base64 dan kemudian mengeksekusinya setelah penundaan 500 milidetik (untuk menghindari sandboxing).

 

Fase 2: Pengambilan Sidik Jari (Investigasi Target)

Kode serangan tersebut mengeksploitasi API Adobe Reader untuk mengumpulkan informasi berikut dari perangkat yang terinfeksi: Versi pasti dari sistem operasi ( ntdll.dll (Diperoleh melalui analisis biner) Versi Adobe Reader Pengaturan bahasa dan informasi platform Copot pemasangan perangkat lunak antivirus Jalur lokal file PDF Semua informasi ini adalah RSS.addFeed() Data tersebut dikirim melalui API ke server C2 (server Komando & Kontrol) yang dikendalikan oleh penyerang. User-Agent pada saat transmisi adalah... "Mozilla/3.0 (kompatibel; Adobe Synchronizer 23.8.20533)" Proses ini disamarkan sebagai proses Adobe yang sah dan dirancang untuk melewati pemantauan jaringan normal.

 

Fase 3: Serangan selanjutnya (bersyarat)

Server C2 memilih target berdasarkan informasi yang dikumpulkan. Hanya perangkat yang memenuhi kriteria penyerang yang menjadi sasaran. Enkripsi AES-CTR + kompresi zlib Ini mengirimkan muatan JavaScript tambahan. Muatan selanjutnya adalah: Eksekusi Kode Jarak Jauh (RCE) Hal ini berpotensi meningkat menjadi skenario pelarian dari sandbox (SBX). Di sisi lain, untuk lingkungan sandbox, ia hanya mengembalikan // (komentar JS kosong) untuk menghindari penguraian. Dalam percobaan verifikasi menggunakan server milik Haifei Li sendiri, JavaScript yang dikembalikan dari C2 benar-benar dieksekusi di Adobe Reader. sistem32 Telah dikonfirmasi bahwa program ini dapat membaca file PNG dalam sebuah direktori dan mengirimkannya ke server eksternal. Bahkan tanpa adanya kerentanan RCE (Remote Code Execution) selanjutnya, Pencurian file tersebut diselesaikan hanya dalam fase 2 dan 3 saja. Hal ini telah terbukti.

 

 

3. Varian kedua juga ditemukan: Para penyerang terus memperbarui versi mereka.

8 April 2026, Peneliti Keamanan Greg Lesnewich @greglesnewich telah menemukan varian baru.

peneliti N3mes1s Menurut laporan forensik terperinci yang dipublikasikan olehnya di GitHub, perbandingan antara v1 (prototipe) dan v2 (produksi) mengungkapkan bahwa para penyerang telah melakukan peningkatan berkelanjutan sebagai berikut:

• Peningkatan lebih lanjut pada pengaburan kode.
• Mempersempit target sistem operasi (menghapus dukungan Windows 7)
• Lakukan rotasi infrastruktur server C2 secara berkala.

Selain itu, log server C2 menunjukkan endpoint /s12 yang tampaknya untuk Adobe Reader v25.x, Pengembangan versi 3 sedang berlangsung. Ada dugaan bahwa hal ini mungkin benar.

 

4. Siapa targetnya? Bahasa Rusia dan industri minyak dan gas adalah kata kunci utama.

peneliti Gi7w0rm Menurut analisisnya, PDF umpan yang digunakan dalam serangan itu ditulis dalam bahasa Rusia, dan isinya adalah... Peristiwa terkini terkait industri minyak dan gas Rusia Telah terungkap bahwa dia memang menyebutkan hal itu.

Analisis forensik N3mes1s mengidentifikasi dua jenis sampel.

 

mencicipi	Isi dokumen umpan	target yang diduga
Sampel 1 (54077a5b)	Prosedur untuk menanggapi gangguan pasokan gas, risiko keselamatan pekerja, kerja sama dengan otoritas lokal, dan pemberitahuan publik (dalam bahasa Rusia)	Perusahaan energi dan operator infrastruktur penting
Sampel 2 (65dca34b)	Perjanjian dan kontrak antar organisasi dengan alamat di Moskow (dalam bahasa Rusia)	instansi pemerintah dan organisasi swasta berbahasa Rusia

Semua metadata PDF /Lang (en-US) Pengaturan dikonfigurasi sebagai berikut, dan alat pembuatannya adalah pustaka Python. PyMuPDF Judul tersebut sengaja disamarkan sebagai "Halaman Kosong". N3mes1s mengatakan bahwa serangan ini dilakukan oleh N3mes1s. "Spionase canggih oleh kelompok yang disponsori negara atau APT (Advanced Persistent Threats)." Itulah yang mereka katakan.

 

5. Apa itu CVE-2026-34621? Nomor identifikasi resmi dari kerentanan tersebut.

CVE-2026-34621 Ini adalah nomor identifikasi resmi yang diberikan kepada kerentanan zero-day pada mesin JavaScript Adobe Reader yang baru-baru ini ditemukan. CVE (Common Vulnerabilities and Exposures) adalah kerangka kerja standar internasional untuk mengidentifikasi dan melacak kerentanan secara unik.

Kerentanan ini Semua versi Adobe Reader, termasuk versi terbaru. Hal ini telah dikonfirmasi efektif mengatasi masalah tersebut, dan Adobe telah diberitahu. Hingga saat penulisan ini (April 2026), perbaikan resmi belum dirilis, tetapi Adobe telah merilis perbaikan darurat. Pengguna yang belum menerapkan patch tersebut harus memperbarui ke versi terbaru sesegera mungkin.

 

 

6. Daftar IOC (Indikator Pelanggaran): Data yang dapat digunakan untuk pemantauan internal

Dengan mendaftarkan IOC berikut di firewall, EDR, dan SIEM Anda, Anda dapat mendeteksi dan memblokir serangan zero-day ini.

 

jenis	nilai	perkataan
Alamat IP C2	169.40.2.68:45191	Sampel v1 (Latvia, VEESP)
Alamat IP C2	188.214.34.20:34123	Sampel v2 (Siprus, EDIS GmbH)
domain	ado-read-parser.com / zx.ado-read-parser.com	Terdaftar pada 6 Februari 2025, deteksi VT 0/94
Agen Pengguna	Mozilla/3.0 (kompatibel; Adobe Synchronizer 23.8.20533)	Menyamar sebagai proses Adobe
SHA-256 (v1)	54077a5b15638e354fa02318623775b7a1cc0e8c21e59bcbab333035369e377f	Invoice540.pdf (VT 6/77)
SHA-256 (v2)	65dca34b04416f9a113f09718cbe51e11fd58e7287b7863e37f393ed4d25dde7	Terdeteksi oleh EXPMON (VT 5/64)
Kunci Registri	HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronizer	Mekanisme persistensi
ID Kampanye	422974 (v1) / 319988 (v2)	Parameter URL C2 &od= berisi

 

7. Tindakan yang dapat Anda lakukan sekarang juga: Apa yang harus dilakukan sampai patch dirilis

Pemantauan Jaringan

Acrobat.exe Dan AcroRd32.exe Pengaturan yang paling efektif adalah mendeteksi dan memblokir permintaan HTTP yang berisi "Adobe Synchronizer" di User-Agent dari komunikasi eksternal, dengan memperlakukannya seolah-olah dikirim ke server selain server resmi Adobe. &od=422974 atau &od=319988 Harap atur juga peringatan untuk permintaan yang menyertakan [ini].

Perlindungan titik akhir

Dari proses Adobe ntdll.dll atau Bootsvc.dll Mohon tambahkan aturan untuk mendeteksi akses file yang tidak biasa ke [lokasi]. Selain itu, AdobeCollabSync.exe Kami menyarankan untuk mengatur peringatan ketika sistem mencoba terhubung ke jaringan eksternal.

Pelatihan pengguna dan dukungan operasional

• Jangan membuka file PDF dari pengirim yang tidak dikenal atau yang tidak Anda kenal (berhati-hatilah terutama jika nama file disamarkan sebagai faktur atau kontrak).
• Nonaktifkan eksekusi JavaScript di Adobe Reader pada terminal kerja (tergantung lingkungan)
• Blokir alamat IP dan domain dari IOC di atas menggunakan firewall atau proxy.
• Kami terus memantau pemberitahuan keamanan resmi Adobe dan menerapkan patch segera setelah dirilis.

8. Reaksi daring: Suara para peneliti keamanan

Menyusul penemuan serangan zero-day ini, berbagai pendapat telah diungkapkan dalam komunitas keamanan.

 

Seluruh komunitas keamanan "Penyakit itu tidak terdeteksi selama lebih dari empat bulan." Banyak orang menyatakan keterkejutan pada saat ini, dan ada perasaan krisis bersama bahwa "EDR standar saja tidak cukup." Lebih lanjut, ada diskusi aktif yang sedang berlangsung mengenai bukti yang menunjukkan keterlibatan kelompok APT (dokumen umpan berbahasa Rusia, topik yang berkaitan dengan rahasia negara).

 

9. Pertanyaan yang Sering Diajukan (FAQ)

T: Dapatkah kerentanan zero-day Adobe Reader ini menginfeksi aplikasi hanya dengan membuka sebuah file?

A. Ya. Kerentanan ini dirancang untuk dieksekusi secara otomatis saat PDF dibuka, tanpa memerlukan tindakan tambahan dari pengguna, seperti mengklik tautan atau mengizinkan eksekusi makro. Oleh karena itu, kerentanan ini sangat berbahaya.

 

T: Bisakah hal ini dicegah dengan perangkat lunak antivirus biasa?

A. Saat ini, sangat sulit untuk mencegahnya. Tingkat deteksi awal di VirusTotal sangat rendah, yaitu 5/64, dan karena menggabungkan pengaburan tingkat lanjut seperti JSFuck dan fitur penghindaran sandbox, sangat mungkin produk antivirus standar akan menganggapnya sebagai file yang tidak berbahaya.

 

T: Apakah patch untuk CVE-2026-34621 sudah dirilis?

A. Setelah ditemukannya kerentanan tersebut, Adobe telah merilis perbaikan darurat untuk kerentanan zero-day (CVE-2026-34621). Pengguna Adobe Reader harus segera memperbarui ke versi terbaru. Sebagai langkah sementara sebelum menerapkan patch, kami merekomendasikan untuk mendaftarkan IOC yang dijelaskan dalam artikel ini ke firewall atau EDR Anda dan melakukan edukasi pengguna tentang cara menangani PDF yang mencurigakan.

 

T: Bagaimana cara saya memeriksa apakah saya telah menjadi korban serangan zero-day?

A. Periksa log jaringan internal, Acrobat.exe atau AcroRd32.exe Dari alamat IP IOC di atas (169.40.2.68, 188.214.34.20) dan domain ( ado-read-parser.com Mohon selidiki apakah ada catatan komunikasi ke ). Selain itu, kunci registri HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Synchronize Keberadaan huruf 'r' juga merupakan poin yang perlu dikonfirmasi.

 

T: Apakah istilah "serangan zero-day" berkaitan dengan drama Netflix "Zero Day"?

A. Meskipun namanya sama, "zero day," tidak ada hubungannya. Drama Netflix "Zero Day" adalah film thriller politik tentang serangan siber. Di sisi lain, "serangan zero day" yang dijelaskan dalam artikel ini adalah istilah keamanan siber yang sebenarnya, dan Adobe Reader CVE-2026-34621 adalah kasus serangan di dunia nyata.

 

10. Referensi dan Sumber

 

• Haifei Li (EXPMON): EXPMON mendeteksi serangan zero-day fingerprinting canggih yang menargetkan pengguna Adobe Reader (7 April 2026)
• Greg Lesnewich: Adobe Mengeksploitasi Lalu Lintas PDF (GitHub Gist) (8 April 2026)
• N3mes1s: Eksploitasi PDF Zero-Day Adobe Reader – Analisis Forensik Lengkap (GitHub Gist) (8 April 2026)
• SecurityWeek: Kerentanan Zero-Day Adobe Reader Dieksploitasi Selama Berbulan-bulan: Peneliti
• The Register: Kerentanan zero-day Adobe Reader lama menggunakan PDF untuk mengukur target.
• Security Affairs: PDF berbahaya mengungkap celah keamanan zero-day Adobe Reader yang aktif.
• Hacker News: Kerentanan Zero-Day Adobe Reader Dieksploitasi melalui PDF Berbahaya Sejak Desember 2025

 

 

 

🔥Artikel menarik lainnya yang kami rekomendasikan untuk Anda

 

[2026] Apakah kematian mendadak Zepa benar-benar terjadi? Ringkasan pengumuman, penyebab kematian yang tidak diungkapkan, dan ucapan belasungkawa di media sosial.

 

[2026] Selamat, Tunangan! Apakah ini penipuan? Sebuah tinjauan tentang masalah serupa dan kesimpulan dari seri ini.

    

[2026] Apa itu Onicha? Kapan teh barley Hikakin "ONICHA" akan dirilis dan berapa harganya?

 

[2026] Apa yang dilakukan Takashi Kashiwabara sekarang di tahun 2026? Ringkasan pernikahan keduanya dengan Yuki Uchida, masa lalunya, dan karya-karya yang mewakilinya.

 

[2026] Siapakah Nobuko Nakano? Penjelasan lengkap tentang usianya, suami, keluarga, rumor operasi plastik, dan masa mudanya!

 

[2026] Ichikawa Danjuro benar-benar menyingkirkan 24 komedian—Apa kekuatan sebenarnya dari seorang aktor Kabuki seperti yang ditunjukkan dalam "Buat mereka tertawa dan menangkan 10 juta yen"?