National Cyber Security Centre (NCSC) bersama 15 mitra internasional telah merilis peringatan bersama. Peringatan ini mengingatkan bahwa pelaku ancaman yang terhubung ke Cina menyembunyikan serangan di balik jaringan perangkat internet sehari-hari yang sudah terkompromi.
Peringatan ini menjelaskan adanya perubahan taktik besar. Kelompok yang berafiliasi dengan Beijing kini mengalihkan aktivitas mereka melalui ratusan ribu router rumah dan perangkat pintar yang telah dikompromikan. Cara ini menggantikan penggunaan infrastruktur khusus milik penyerang.
Botnet yang Dibangun dari Perangkat Rumah Terkompromi
Dokumen ini menemukan pola pada operasi Volt Typhoon dan Flax Typhoon. Pada setiap kasus, lalu lintas data melewati router kantor kecil dan rumah tangga yang sudah terkompromi sebelum sampai ke targetnya.
Jaringan tersembunyi ini memudahkan operator terkait Cina untuk memindai target, mengirim malware, dan mengambil data. Selain itu, jaringan ini juga menyamarkan asal serangan tersebut.
Raptor Train, salah satu jaringan ini, telah menginfeksi lebih dari 200.000 perangkat di seluruh dunia sepanjang 2024, menurut NCSC. FBI menyebutkan pengelolaan jaringan ini dilakukan oleh Integrity Technology Group, sebuah perusahaan keamanan siber berbasis di Beijing.
Britania Raya menjatuhkan sanksi terhadap perusahaan tersebut pada Desember 2025 karena aktivitas siber yang sembrono terhadap negara-negara sekutunya.
Banyak perangkat yang terkompromi tersebut adalah kamera web, perekam video, firewall, dan perangkat penyimpanan jaringan yang sudah end-of-life. Perangkat ini sudah tidak lagi menerima patch keamanan dari pabrikan, sehingga mudah dieksploitasi secara massal.
Infrastruktur Barat Sudah Diduduki
Volt Typhoon memakai jaringan tersembunyi lain yang disebut KV Botnet. Kelompok ini telah menanamkan “jejak” di infrastruktur nasional penting di Amerika Serikat dan negara-negara sekutu.
Berkas Departemen Kehakiman yang disebut dalam peringatan ini memperkuat temuan tersebut. Jaringan energi, sistem transportasi, dan sistem pemerintahan disebut sebagai target aktif.
Paul Chichester, Direktur Operasional NCSC, menyoroti masalah lain bernama “penghilangan indikator kompromi”. Pengenal yang digunakan untuk melacak penyerang lenyap dengan cepat setelah diterbitkan oleh para peneliti.
Masalah ini menggambarkan tantangan luas dalam memantau kampanye peretasan yang didukung negara, baik pada infrastruktur vital maupun sektor keuangan.
“Dalam beberapa tahun terakhir, kita melihat pergeseran taktik kelompok siber dari Cina yang sengaja menggunakan jaringan ini untuk menyembunyikan aktivitas jahat mereka guna menghindari pertanggungjawaban,” terang Paul Chichester, Direktur Operasional NCSC.
Peringatan ini meminta organisasi untuk membatasi pola lalu lintas normal di jaringan serta mengadopsi feed ancaman dinamis. Mereka juga menyarankan agar jaringan tersembunyi terkait Cina dipantau sebagai advanced persistent threat tersendiri.
Pada 2024, terjadi lebih dari US$2 miliar kerugian aset digital akibat kejahatan siber. Bulan-bulan mendatang akan menguji apakah para pelindung bisa mengimbangi laju serangan. Lawan telah membuat pelacakan serangan sebagai korban pertama.
