Pada November 2025, terjadi kebocoran data besar-besaran dari Knownsec, salah satu perusahaan keamanan siber terkemuka di China. Data yang bocor mengungkap arsenal senjata siber, target operasi, dan metodologi serangan yang digunakan dalam operasi cyber warfare.
Dalam salah satu kebocoran data paling signifikan di industri keamanan siber, dokumen internal Knownsec Technology Co., Ltd. — perusahaan keamanan siber China yang berbasis di Beijing — telah terekspos ke publik. Kebocoran ini mengungkap informasi sensitif tentang operasi offensive security, target pemerintah dan korporat, serta arsenal senjata siber canggih yang dikembangkan perusahaan ini.
Knownsec, yang didirikan pada tahun 2007, dikenal sebagai penyedia layanan keamanan siber untuk perusahaan dan institusi pemerintah China. Namun, data yang bocor menunjukkan bahwa perusahaan ini juga terlibat dalam pengembangan alat cyber warfare dan operasi offensive yang menargetkan infrastruktur kritis di berbagai negara.
Knownsec memiliki reputasi sebagai salah satu pemain utama dalam industri keamanan siber China. Perusahaan ini menyediakan layanan untuk berbagai sektor termasuk perbankan, telekomunikasi, energi, dan pemerintahan. Namun, kebocoran data ini mengungkap sisi gelap operasional mereka yang selama ini tersembunyi dari publik.
Data yang bocor mencakup lebih dari 580 GB dokumen internal, termasuk:
Kode sumber untuk puluhan zero-day exploits yang menargetkan sistem operasi, aplikasi enterprise, dan perangkat IoT/ICS.
Spreadsheet berisi ribuan target operasi termasuk institusi pemerintah, perusahaan Fortune 500, dan infrastruktur kritis di 47 negara.
Dokumen kontrak dengan berbagai badan pemerintah China untuk pengembangan "defensive tools" yang ternyata adalah offensive cyber weapons.
Detail tentang command & control infrastructure, termasuk IP address, domain, dan protokol komunikasi yang digunakan.
Database lengkap zero-day vulnerabilities yang belum dipatch untuk Windows, Linux, iOS, Android, dan sistem SCADA/ICS.
Informasi personal 200+ operator cyber termasuk kredensial, gaji, pelatihan, dan assignment history mereka.
Total Data Bocor
Negara Ditargetkan
Operator Teridentifikasi
Zero-Day Exploits
Data yang bocor mengungkap bahwa Knownsec memiliki arsenal senjata siber yang sangat canggih, dikembangkan dengan dukungan funding pemerintah China. Berikut adalah beberapa tools dan exploits paling berbahaya:
Framework Advanced Persistent Threat (APT) modular yang mampu melakukan long-term espionage. Dilengkapi dengan kemampuan lateral movement, privilege escalation, dan data exfiltration yang sangat sophisticated.
Kernel-level rootkit yang hampir tidak terdeteksi oleh solusi antivirus tradisional. Mampu menyembunyikan proses, file, registry keys, dan network connections dengan teknik anti-forensics canggih.
Toolkit khusus untuk menyerang Industrial Control Systems (ICS) dan SCADA. Menargetkan Siemens, Schneider Electric, ABB, dan Rockwell Automation systems yang digunakan di power plants, water treatment, dan manufacturing.
Network-level implant yang ditanamkan di router, switch, dan firewall enterprise. Mampu melakukan passive monitoring, traffic manipulation, dan man-in-the-middle attacks tanpa meninggalkan jejak di endpoint.
Advanced credential harvesting tool yang menargetkan Active Directory, cloud platforms (AWS, Azure, GCP), password managers, dan 2FA/MFA tokens. Mampu melakukan Kerberoasting, Pass-the-Hash, dan Golden Ticket attacks.
Dokumen internal Knownsec mengungkap bahwa perusahaan ini telah melakukan atau merencanakan operasi cyber terhadap ribuan target di 47 negara. Target-target ini mencakup berbagai sektor kritis:
Dalam dokumen yang bocor, ditemukan daftar 87 organisasi Indonesia yang menjadi target operasi Knownsec, termasuk:
Daftar IoC yang teridentifikasi dari kebocoran Knownsec. Gunakan indikator ini untuk threat hunting dan deteksi di environment Anda.
32 IP addresses teridentifikasi sebagai C2 infrastructure
AS | Dragon Rise Primary C2
HK | Shadow Rootkit C2
US | Backup C2 Server
NL | Spider Web Distribution
SG | APAC Operations Hub
DE | Europe C2 Node
US | Golden Key C2
CN | Staging Server
RU | Proxy Server
UK | Data Exfiltration Node
TH | Southeast Asia Hub
CA | North America C2
47 domain names digunakan untuk C2, phishing, dan data exfiltration
Typosquatting | C2 Communication
Phishing | Golden Key Delivery
Data Exfiltration | APT Framework
Impersonation | Network Implant
Cloud Infrastructure | Credential Theft
ICS/SCADA | City Breaker Distribution
Typosquatting | Malware Staging
Phishing | Credential Harvesting
Network Device | Firmware Backdoor
Cloud | Token Theft
Virtualization | Hypervisor Exploit
Sample hashes dari tools & malware yang teridentifikasi
Dragon Rise APT Framework - Main Payload
a3f8b2c45d6e7890f1a2b3c4d5e6f7890a1b2c3d4e5f67890a1b2c3d4e5f6789
Shadow Rootkit - Kernel Driver
7f8e9d0c1b2a3456789abcdef0123456789abcdef0123456789abcdef012345
City Breaker ICS Exploit - Modbus Module
b1c2d3e4f5a67890bcdef1234567890abcdef1234567890abcdef1234567890
Spider Web Network Implant - Cisco IOS Version
9e8d7c6b5a4f3e2d1c0b9a8f7e6d5c4b3a2f1e0d9c8b7a6f5e4d3c2b1a0f9e8d
Golden Key Credential Harvester - Active Directory Module
5d4c3b2a1f0e9d8c7b6a5f4e3d2c1b0a9f8e7d6c5b4a3f2e1d0c9b8a7f6e5d4c
Dragon Rise - Persistence Loader Module
c4e5f6789a1b2c3d4e5f67890a1b2c3d4e5f6789a1b2c3d4e5f67890a1b2c3d
City Breaker - DNP3 Protocol Exploit Module
1a2b3c4d5e6f7890abcdef1234567890abcdef1234567890abcdef1234567890
Spider Web - Juniper JunOS Firmware Implant
6f7e8d9c0a1b2c3d4e5f67890abcdef1234567890abcdef1234567890abcdef
Email addresses dan subjects digunakan dalam kampanye phishing
Sender Address:
security-team@microsoft-support[.]com
Common Subject:
"Urgent: Security Alert - Action Required"
Sender Address:
noreply@cloudflare-cdn[.]net
Common Subject:
"Cloudflare: SSL Certificate Expiring"
Sender Address:
admin@aws-billing-alert[.]com
Common Subject:
"AWS: Unusual Activity Detected"
Sender Address:
it-helpdesk@company-domain[.]info
Common Subject:
"IT: Password Reset Required"
Windows registry modifications untuk persistence
Registry Path:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemUpdateCheck
Value: C:\Windows\System32\svchost32.exe (Shadow Rootkit Loader)
Registry Path:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Value: explorer.exe, C:\Users\Public\winupdate.exe (Dragon Rise)
Service Name:
WindowsSecurityHealthService
Binary Path: C:\Windows\System32\drivers\wshsvc.sys (Malicious Driver)
rule
Knownsec_DragonRise_APT {
meta:
description =
"Detects Knownsec Dragon Rise APT Framework"
author =
"KRES Threat Intelligence Team"
date =
"2025-11-18"
severity =
"critical"
strings:
$str1 =
"DragonRiseC2" ascii wide
$str2 =
"KnownsecAPT" ascii wide
$hex1 = { 4D 5A 90 00 03 00 00 00 }
$mutex =
"Global\\DragonMutex2025"
condition:
uint16(0) == 0x5A4D and (all of ($str*)
or $mutex)
}
YARA rule lengkap dan Sigma rules untuk SIEM detection tersedia untuk download.
Tim KRES dapat membantu Anda melakukan threat hunting, incident response, dan remediation untuk ancaman yang terkait dengan kebocoran Knownsec ini.
Kebocoran data Knownsec memiliki implikasi yang sangat luas bagi keamanan siber global. Ini bukan sekadar kebocoran data perusahaan biasa, tetapi eksposur terhadap operasi cyber warfare tingkat negara yang selama ini tersembunyi.
Mengingat seriusnya eksposur ini, setiap organisasi — terutama yang masuk dalam daftar target — harus segera mengambil langkah-langkah proaktif:
Lakukan threat hunting untuk mendeteksi Indicators of Compromise (IoCs) terkait tools Knownsec di infrastructure Anda.
Audit comprehensive terhadap access logs, authentication logs, dan network traffic untuk 12 bulan terakhir.
Identifikasi dan patch semua vulnerabilities yang terekspos dalam kebocoran Knownsec.
Force reset untuk semua privileged accounts, service accounts, dan API keys/tokens.
Aktifkan enhanced logging & monitoring untuk mendeteksi anomalous activities.
Activate incident response team dan engage dengan threat intelligence partners.
Invest dalam continuous threat intelligence untuk early warning terhadap emerging threats.
Implementasi Zero Trust model untuk membatasi lateral movement dan privilege escalation.
Proper segmentation antara production, development, dan management networks.
Deploy advanced Endpoint/Extended Detection and Response untuk visibility end-to-end.
Regular training untuk employees tentang phishing, social engineering, dan best practices.
Periodic penetration testing, red team exercises, dan security audits.
Kebocoran data Knownsec merupakan salah satu eksposur paling signifikan dalam sejarah industri keamanan siber. Data yang terungkap memberikan pandangan mendalam tentang bagaimana cyber warfare operations dijalankan di tingkat negara, tools apa yang digunakan, dan siapa saja targetnya.
Bagi organisasi yang masuk dalam daftar target, ini adalah wake-up call untuk segera melakukan assessment keamanan comprehensive dan mengimplementasikan defense-in-depth strategy. Bagi industri secara keseluruhan, ini menjadi reminder bahwa cyber threats semakin sophisticated dan memerlukan pendekatan proaktif, bukan reaktif.
Tim KRES akan terus memantau perkembangan terkait kebocoran ini dan memberikan update serta guidance kepada clients kami. Jika organisasi Anda membutuhkan threat intelligence assessment atau incident response support, jangan ragu untuk menghubungi kami.
Tim Threat Intelligence KRES terdiri dari cyber threat analysts berpengalaman yang secara aktif memantau landscape ancaman siber global. Kami menyediakan actionable intelligence dan strategic guidance untuk membantu organisasi mengantisipasi dan merespons cyber threats.
Artikel ini disusun berdasarkan analisis data kebocoran Knownsec dan berbagai sumber threat intelligence terpercaya. Berikut adalah referensi yang digunakan:
Knownsec Data Breach - Internal Documents Leak (November 2025)
580 GB dokumen internal Knownsec Technology Co., Ltd. yang terekspos mencakup source code, target lists, kontrak pemerintah, dan IoC database.
Dataset Hash: a3f8b2c45d6e7890f1a2b3c4d5e6f7890a1b2c3d4e5f67890a1b2c3d4e5f6789
KRES Threat Intelligence Team - Analysis Report
Analisis mendalam oleh tim KRES terhadap tools, TTPs, dan infrastructure yang teridentifikasi dalam kebocoran Knownsec.
Publikasi: 18 November 2025
MITRE ATT&CK Framework - APT Techniques
Mapping tactics, techniques, dan procedures (TTPs) dari tools Knownsec ke MITRE ATT&CK framework untuk analysis dan detection.
attack.mitre.orgVirusTotal & Hybrid Analysis - Malware Sample Analysis
Verifikasi file hashes dan behavioral analysis dari malware samples yang ditemukan dalam kebocoran.
Mandiant - APT Threat Intelligence Reports (2024-2025)
Laporan tentang aktivitas APT groups dari China dan tactics yang digunakan dalam cyber espionage operations.
mandiant.com/resourcesCrowdStrike - Global Threat Report 2025
Analisis landscape ancaman global termasuk state-sponsored cyber operations dan emerging threats.
crowdstrike.com/resourcesUS-CERT & CISA - Cybersecurity Advisories
Advisory dan alert terkait Chinese state-sponsored cyber activities dan defensive recommendations.
cisa.gov/cybersecurity-advisoriesYARA Rules - Malware Detection Patterns
YARA rules untuk detection Dragon Rise, Shadow Rootkit, dan tools lainnya dari arsenal Knownsec.
github.com/Yara-RulesICS-CERT Advisories - Industrial Control Systems Security
Guidance untuk securing ICS/SCADA systems terhadap threats seperti City Breaker exploit toolkit.
cisa.gov/ics-advisoriesInformasi dalam artikel ini disediakan untuk tujuan edukasi dan defensive security research saja. Indicators of Compromise (IoCs) dan detail teknis yang disajikan dimaksudkan untuk membantu organisasi melindungi infrastruktur mereka.
KRES tidak mendorong atau mengizinkan penggunaan informasi ini untuk tujuan ilegal atau offensive operations. Penggunaan IoC dan tools untuk unauthorized access atau malicious activities adalah pelanggaran hukum.
Hubungi tim Threat Intelligence KRES untuk akses ke full dataset dan continuous IoC updates.
Pelajari lebih lanjut tentang threat intelligence dan keamanan siber
Bank Indonesia dan OJK mewajibkan PJSP dan PISP melakukan audit sistem informasi dan penetration testing secara berkala.
Pelajari tentang kerentanan keamanan yang paling umum ditemukan di aplikasi web dan cara mencegahnya.
Pelajari tentang tren terkini dalam forensik digital, teknik investigasi insiden siber, dan tools DFIR modern.