Peretas negara Cina mengkloning dan mulai menggunakan eksploitasi zero-day NSA hampir tiga tahun sebelum grup peretas Shadow Brokers membocorkannya secara publik pada April 2017.
EpMe adalah exploit asli yang dibuat oleh Equation Group sekitar tahun 2013 untuk bug zero-day Windows yang dilacak sebagai CVE-2017-2005.
Kerentanan digunakan untuk meningkatkan hak pengguna Windows setelah mendapatkan akses ke perangkat yang ditargetkan karena ini adalah bug eskalasi hak istimewa lokal (LPE) yang memengaruhi perangkat yang menjalankan Windows XP hingga Windows 8.
Microsoft menambal bug keamanan ini pada Maret 2017 dan mengaitkan eksploitasi aktif ke grup peretasan APT31 yang didukung Cina.
Namun, APT 31 (juga dilacak sebagai Zirkonium) membangun exploit mereka, dijuluki Jian, dengan mereplikasi fungsi exploit EpMe yang dicuri dari unit Equation Group (NSA’s Tailored Access Operations (TAO) unit) seperti yang diungkapkan peneliti Check Point dalam laporan yang mereka terbitkan.
Ini dilakukan setelah peretas negara Cina menangkap sampel 32-bit dan 64-bit dari eksploitasi EpMe Equation Group.
Setelah direplikasi, exploit zero-day digunakan oleh APT31 bersama alat peretasan lainnya di gudang senjata mereka, termasuk pengemas multi-tahap grup.
Microsoft menambal kerentanan Jian dirancang untuk disalahgunakan hanya setelah IRT Lockheed Martin menemukan sampel exploit di alam liar dan membagikannya dengan Microsoft.
Selengkapnya: Bleeping Computer
