Shortcut file atau LNK di Windows selama ini dianggap sebagai fitur sederhana yang membantu pengguna membuka aplikasi atau dokumen dengan cepat. Ikon bergambar panah kecil tersebut sering diperlakukan sebagai hal biasa dan jarang diperiksa lebih dalam. Namun penelitian terbaru menunjukkan bahwa shortcut Windows menyimpan potensi ancaman yang jauh lebih besar daripada yang selama ini disadari pengguna.
File LNK bukan hanya perantara untuk membuka aplikasi. Di balik tampilannya yang sederhana, shortcut dapat menjalankan perintah jauh lebih kompleks tanpa perlu konfirmasi pengguna. File tersebut mampu mengeksekusi perintah PowerShell, memanggil cmd.exe, memuat DLL eksternal, hingga menjalankan skrip tersembunyi. Kemampuan inilah yang membuatnya tidak hanya berguna, tetapi juga berbahaya jika disalahgunakan.
Salah satu teknik yang sering digunakan penyerang adalah menyamarkan file berbahaya agar terlihat seperti dokumen biasa. Ikon dan nama file dapat dimodifikasi menjadi seolah-olah berformat PDF atau Word. Bahkan, bagian berbahaya pada shortcut sering tidak terlihat di jendela properti karena Windows hanya menampilkan sebagian path target, sementara sebenarnya file tersebut dapat menyimpan perintah hingga ribuan karakter. Mekanisme ini membuat pengguna sulit mengenali perintah tersembunyi yang dapat memicu malware hanya dengan satu klik.
Celah ini tidak lagi dianggap sekadar masalah teknis kecil. Kerentanan dengan kode CVE-2025-9491 telah dimanfaatkan sejak 2017 oleh berbagai kelompok Advanced Persistent Threat (APT). CIRT.GY menyebut terdapat lebih dari 1.000 shortcut berbahaya yang sengaja dibuat untuk mengeksploitasi kelemahan ini. Laporan Cyber Insider mengungkap bahwa kelompok dari Iran, Rusia, Korea Utara, dan China menggunakan metode ini untuk menjalankan aksi spionase dan pencurian data berskala besar.
Salah satu contoh kasus adalah serangan yang dilakukan kelompok XDSpy, sebagaimana diberitakan Cyber Press. Mereka mengirimkan shortcut melalui email phishing kepada lembaga pemerintah di Eropa Timur. Begitu shortcut dibuka, perintah PowerShell tersembunyi dijalankan dan memicu executable asli milik Microsoft. Eksekusi tersebut kemudian menyisipkan DLL berbahaya untuk memasang malware XDigo yang mampu merekam ketikan, menangkap layar, dan mengirimkan data keluar tanpa terdeteksi.
Ancaman serupa juga dilakukan kelompok UNC6384 yang menargetkan diplomat di Eropa. Cara yang digunakan hampir sama yaitu memanfaatkan shortcut dengan perintah tersembunyi yang menginstal trojan PlugX untuk akses jarak jauh.
Meski serangan ini tergolong serius, Microsoft hingga kini belum melakukan perbaikan penuh. Berdasarkan laporan Help Net Security, perusahaan menilai kerentanan ini tidak masuk kategori tinggi untuk dilakukan patching menyeluruh. Struktur shortcut yang sudah menjadi bagian dari sistem operasi dianggap terlalu kompleks untuk diubah tanpa merusak fungsi Windows. Sebagai solusi, Microsoft mengandalkan sistem deteksi seperti Microsoft Defender serta fitur Smart App Control untuk memblokir shortcut mencurigakan.
Namun pendekatan ini memiliki keterbatasan. Deteksi otomatis tidak selalu akurat dan masih bergantung pada perilaku pengguna yang waspada. Karena itu, langkah perlindungan tambahan tetap diperlukan.
Pengguna disarankan berhati-hati terhadap shortcut yang berasal dari email, ZIP file, atau sumber yang tidak jelas. Di lingkungan korporasi, penggunaan AppLocker, Group Policy, dan kontrol eksekusi PowerShell dapat mengurangi risiko. Bagi pengguna rumahan, memperbarui antivirus dan memeriksa properti shortcut secara teliti dapat membantu mencegah eksekusi perintah berbahaya.
Ancaman shortcut mungkin tampak sederhana, tetapi justru itulah yang membuatnya efektif. Banyak pengguna tidak pernah memikirkan potensi bahaya file LNK sehingga mudah lengah. Pengetahuan dasar bahwa shortcut mampu membawa perintah tersembunyi sudah cukup membuat pengguna jauh lebih waspada.
Meskipun Microsoft belum menutup celah ini sepenuhnya, kesadaran dan kehati-hatian dapat menjadi benteng pertahanan utama. Jangan membuka shortcut yang mencurigakan, terutama dari sumber yang tidak diketahui. Satu klik pada file yang tampak tidak berbahaya dapat membuka pintu bagi serangan siber tingkat lanjut.