Dunia keamanan siber tidak pernah berhenti berputar dalam perlombaan tanpa akhir antara penyerang dan pembela. Setiap kali ada kemajuan dalam deteksi ancaman, selalu muncul teknik baru yang dirancang untuk mengelabui sistem pertahanan. Kali ini, perhatian komunitas keamanan tertuju pada sebuah inovasi yang mengkhawatirkan bernama Zombie ZIP. Teknik baru ini memungkinkan malware untuk bersembunyi di dalam arsip ZIP yang sengaja dirusak, berpotensi menjadi metode baru yang sangat efektif bagi penyerang untuk menyebarkan muatan berbahaya tanpa terdeteksi oleh sebagian besar program antivirus yang ada saat ini.
Penemuan ini diungkap oleh para peneliti keamanan yang mendapati bahwa manipulasi cerdik pada struktur file ZIP dapat membuat malware tidak terlihat. Pada dasarnya, teknik Zombie ZIP memanfaatkan celah dalam cara aplikasi pengarsip dan perangkat lunak antivirus menginterpretasikan metadata dalam file ZIP. Ini adalah evolusi dari taktik pengelabuan yang terus-menerus berkembang, di mana penyerang berupaya membuat malware mereka tampak jinak atau bahkan tidak dapat dibaca oleh sistem keamanan.
Untuk memahami bagaimana Zombie ZIP bekerja, penting untuk mengetahui sedikit tentang struktur dasar file ZIP. File ZIP adalah format arsip data populer yang digunakan untuk mengumpulkan satu atau lebih file atau direktori menjadi satu file tunggal, sekaligus mengompresinya untuk mengurangi ukuran. Setiap file ZIP memiliki "header" yang berisi metadata penting, seperti nama file, ukuran asli dan terkompresi, tanggal dan waktu modifikasi, serta yang paling krusial, "metode kompresi" yang digunakan. Metode kompresi ini memberi tahu perangkat lunak pengarsip bagaimana cara membaca dan mendekompilasi data yang ada di dalamnya, apakah itu menggunakan algoritma Deflate, BZip2, atau metode lainnya. Header ini berfungsi sebagai peta jalan yang esensial bagi perangkat lunak arsip untuk menavigasi dan mengekstrak konten dengan benar.
Dalam kasus Zombie ZIP, para penyerang dengan sengaja merusak atau memanipulasi bidang "metode kompresi" pada header file ZIP. Alih-alih menetapkan nilai yang benar, seperti "Deflate" yang paling umum, mereka memasukkan nilai yang tidak valid atau tidak dikenali. Akibatnya, ketika aplikasi pengarsip populer seperti 7-Zip, WinRAR, atau bahkan alat bawaan sistem operasi mencoba membuka file tersebut, mereka akan menemukan bahwa metode kompresi tidak dapat dikenali. Aplikasi-aplikasi ini kemudian akan menganggap file ZIP tersebut sebagai arsip yang rusak, korup, atau tidak lengkap.
Yang lebih mengkhawatirkan adalah bagaimana perangkat lunak antivirus bereaksi terhadap file-file semacam ini. Banyak mesin antivirus, ketika dihadapkan pada file ZIP dengan header yang rusak, cenderung menganggapnya sebagai data terkompresi yang tidak berbahaya atau sekadar file yang korup yang tidak dapat diproses. Mereka mungkin tidak melakukan pemindaian mendalam terhadap konten sebenarnya karena "peta jalan" di header telah rusak. Ini menciptakan titik buta yang sempurna bagi malware untuk bersembunyi.
Padahal, data sebenarnya, termasuk payload berbahaya, tetap dikompresi menggunakan algoritma Deflate yang sah, sebuah metode kompresi lossless yang dikembangkan oleh Phil Katz untuk perangkat lunak PKZIP pada tahun 1990-an. Malware tersebut tetap berada di dalam arsip, utuh dan siap dieksekusi, tetapi tersembunyi karena metadata kompresinya dimanipulasi untuk mengelabui alat standar. Analogi "Zombie" sangat tepat di sini: file tersebut tampak "mati" atau tidak berfungsi di permukaan, tetapi di dalamnya terdapat "kehidupan" atau kode berbahaya yang dapat diaktifkan kembali dengan cara yang tepat.
Para penyerang dapat memanfaatkan teknik ini untuk menyebarkan arsip ZIP yang tampak rusak melalui berbagai saluran, seperti lampiran email phishing, unduhan berbahaya dari situs web, atau melalui media sosial. Korban yang menerima file tersebut mungkin menganggapnya sebagai kesalahan atau file yang tidak dapat dibuka, tanpa menyadari bahwa itu adalah bom waktu yang tersembunyi. Payload berbahaya baru bisa diekstrak menggunakan alat khusus yang dirancang untuk mengabaikan informasi metode kompresi yang rusak di header dan langsung membaca aliran data mentah di dalam file. Ini berarti penyerang perlu memastikan bahwa korban menggunakan atau memiliki alat ekstraksi khusus ini, mungkin dengan menyertakan instruksi palsu atau menggunakan program pembantu yang dirancang khusus.
Kerentanan ini saat ini dilacak sebagai CVE-2026-0866, menunjukkan tingkat pengakuan formal atas potensi ancamannya. Para peneliti yang mengembangkan teknik tersebut mengklaim bahwa Zombie ZIP mampu lolos dari sekitar 98% mesin antivirus yang diuji melalui platform VirusTotal. Ini adalah angka yang sangat mengkhawatirkan, mengingat VirusTotal mengintegrasikan puluhan mesin antivirus terkemuka dari seluruh dunia. Beberapa produk keamanan populer seperti Bitdefender, Kaspersky, dan Microsoft Defender dilaporkan tidak menandai arsip yang dimanipulasi tersebut sebagai ancaman dalam pengujian awal, menyoroti betapa efektifnya metode ini dalam menembus garis pertahanan pertama.
Meskipun demikian, tidak semua peneliti sepakat bahwa teknik ini merupakan kerentanan serius atau terobosan yang sepenuhnya baru. Sejumlah analis malware menilai bahwa file tersebut pada dasarnya hanya arsip rusak atau terenkripsi yang membutuhkan alat khusus untuk dibuka. Mereka berpendapat bahwa perilakunya tidak jauh berbeda dengan file ZIP yang dilindungi kata sandi, di mana kontennya juga tidak dapat dipindai oleh antivirus tanpa kata sandi yang benar. Dalam kedua skenario, antivirus tidak dapat melihat "di dalam" arsip tanpa kunci atau mekanisme yang tepat.
Peneliti dari CERT Coordination Center di Carnegie Mellon University, sebuah organisasi yang dikenal karena penelitian dan saran keamanannya yang mendalam, menyebutkan bahwa beberapa alat ekstraksi masih mampu mengenali arsip yang dimodifikasi dan mengekstrak payload di dalamnya. Ini menunjukkan bahwa meskipun teknik ini efektif melawan sebagian besar AV, mungkin ada beberapa solusi atau alat forensik yang lebih canggih yang mampu melakukan "file carving" atau analisis mendalam pada struktur data mentah tanpa bergantung pada header yang korup.
Perdebatan ini menyoroti nuansa dalam dunia keamanan siber: apakah ini "kerentanan baru" yang fundamental dalam cara file ZIP diproses, ataukah hanya "teknik pengelabuan" yang memanfaatkan perilaku yang sudah ada dari perangkat lunak yang tidak dirancang untuk menangani manipulasi semacam itu? Terlepas dari kategorisasinya, efeknya tetap sama: malware dapat melewati sistem pertahanan yang ada.
Para peneliti dan CERT Coordination Center menyarankan pengembang antivirus untuk tidak hanya mengandalkan metadata arsip saat memindai file terkompresi. Pendekatan yang lebih proaktif dan mendalam diperlukan, yang mungkin melibatkan analisis struktur data mentah, penggunaan heuristik yang lebih canggih untuk mendeteksi anomali pada header, atau bahkan mencoba mendekompilasi sebagian data meskipun header tampak rusak. Kemampuan untuk melakukan "deep inspection" atau analisis berbasis konten, bukan hanya metadata, akan menjadi kunci untuk mengatasi ancaman semacam ini di masa depan.
Bagi pengguna, peringatan tetap berlaku: berhati-hati adalah kunci. Pengguna diingatkan untuk sangat berhati-hati saat membuka file ZIP yang diunduh dari sumber yang tidak terpercaya atau yang diterima melalui email yang mencurigakan. Bahkan arsip yang tampak rusak sekalipun, yang mungkin Anda anggap sebagai "file error" dan tidak berbahaya, bisa saja menyembunyikan malware yang siap diluncurkan. Pendidikan keamanan siber tentang ancaman phishing, rekayasa sosial, dan kehati-hatian dalam mengelola unduhan tetap menjadi lini pertahanan pertama yang paling penting.
Fenomena Zombie ZIP ini adalah pengingat tajam bahwa lanskap ancaman siber terus berevolusi. Penyerang akan selalu mencari cara baru dan cerdik untuk melewati sistem pertahanan. Ini menuntut respons yang berkelanjutan dan adaptif dari komunitas keamanan siber, baik dari sisi pengembang perangkat lunak antivirus maupun dari sisi pengguna akhir. Dengan pemahaman yang lebih baik tentang teknik-teknik seperti Zombie ZIP, kita dapat mengambil langkah-langkah yang diperlukan untuk memperkuat pertahanan digital kita dan mengurangi risiko menjadi korban serangan siber yang semakin canggih.
