Peningkatan tersebut menempatkan Indonesia sebagai sumber serangan spam dan malware terbesar di sepanjang 2025. Temuan ini juga mengindikasikan banyak infrastruktur IT di dalam negeri, seperti server perusahaan, PC, hingga perangkat IoT, sudah terkompromi dan rentan terhadap eksploitasi.

Laporan AwanPintar.id® juga mendapati tren serangan siber di Indonesia berada pada level kewaspadaan tinggi dengan jumlah total 234.528.187 serangan di sepanjang semester 2 tahun 2025, atau telah terjadi rata-rata 15 serangan siber per detik.

Serangan ini meningkat signifikan hingga 75,76% dibandingkan semester 1 tahun 2025. Khusus pada bulan Desember 2025, jumlah serangan menyentuh angka 90.590.833, yang kemungkinan dipicu oleh tingginya aktivitas DDoS serta eksploitasi terhadap lalu lintas transaksi ekonomi digital selama periode liburan akhir tahun.

“Laporan kami menemukan upaya yang sistematis untuk melumpuhkan kepercayaan publik terhadap ekosistem digital nasional,” ujar ucap Yudhi Kukuh, founder AwanPintar.id® melalui rilis yang diterima oleh nativzen.com.

Ia menambahkan bahwa pelaku serangan siber dalam negeri tidak lagi hanya bergerak secara individu, melainkan mulai menunjukkan pola kerja sama yang terorganisir untuk menargetkan layanan publik dan platform ekonomi.

“Tentunya, kondisi seperti itu mencerminkan adanya kebutuhan mendesak untuk memperkuat edukasi literasi keamanan di seluruh lapisan masyarakat agar tidak mudah terjebak dalam skema manipulasi yang dibuat oleh pelaku lokal,” tambah Yudhi Kukuh.

Makin Agresifnya Upaya Melumpuhkan Infrastruktur Penting

Salah satu serangan yang melonjak signifikan adalah Attempted Administrator Privilege Gain, yaitu upaya untuk mencuri hak akses admin pada sistem Windows, yang naik 57,74% dibandingkan semester 1 2025.

Hal ini menunjukkan pelaku serangan siber jauh lebih agresif dalam mengeksploitasi keretanan pada OS yang belum ditambal (patched) dan menggunakan serangan yang lebih canggih seperti DDoS untuk melumpuhkan infrastruktur yang penting.

Sementara, bertahannya botnet Mirai terindikasi memberikan sumbangsih yang besar pada kenaikan serangan ini. Botnet Mirai adalah ancaman siber yang terdeteksi aktif kembali sejak semester 1 2025.

Botnet yang pertama kali terdeteksi pada 2016 ini muncul kembali dalam wajah yang lebih canggih dan lebih agresif. Botnet berbasis Linux ini aktif menginfeksi berbagai perangkat IoT lalu dijadikan jaringan botnet untuk melancarkan serangan DDoS dalam skala besar.

Penjahat siber juga terdeteksi fokus memanfaatkan pintu belakang (backdoor) untuk merebut hak akses admin tanpa terdeteksi lalu mengeksekusi ransomware atau melakukan pencurian data. Hal ini pun ditunjukkan oleh dominasi backdoor DoublePulsar.

Serangannya yang mencapai hampir 100% menunjukkan bahwa infrastruktur digital di Indonesia masih sangat rentan terhadap eksploitasi dan menjadi peringatan keras bagi pengelola IT untuk segera melakukan audit keamanan pada OS yang usang dan menutup celah kerentanan.

Indonesia Pengirim Spam dan Malware Terbesar

Sementara itu, serangan spam dan malware di Indonesia di sepanjang tahun 2025 menunjukkan pola yang dinamis. Setelah cukup aktif di kuartal pertama, serangan spam melonjak pada bulan Juli (mencapai 36,34%, dari sebelumnya pada kisaran 19-24% pada semester 1 2025).

Ini menunjukkan adanya kampanye spam masif yang menargetkan Indonesia. Spam email masih menjadi instrumen utama yang dipakai oleh penyerang karena biayanya murah dan memiliki daya hancur tinggi melalui skema phishing.

Indonesia menduduki posisi pertama sebagai negara pengirim spam terbanyak, di mana infrastruktur digital dalam negeri justru menjadi sumber utama gangguan bagi pengguna internet di tanah air sendiri.

Indonesia menjadi negara pengirim spam terbesar (melonjak jadi 56,29% dari 21,45% pada semester 1 2025) yang menunjukkan banyak IP publik, server, hingga perangkat IoT di Indonesia yang telah dikompromi dan dipakai oleh penjahat siber sebagai mesin pengirim spam massal.

Sementara intensitas serangan malware menunjukkan pola yang lebih fluktuatif. Setelah meledak pada awal tahun 2025, serangan malware sempat melandai sebelum melonjak lagi pada bulan Juni, tepat sebelum ledakan spam di bulan Juli.

Hal ini mengindikasikan bahwa distribusi malware dilakukan lebih awal untuk mempersiapkan infrastruktur botnet sebelum serangan massal spam dijalankan. Memasuki semester kedua, aktivitas malware menurun drastis bahkan menyentuh angka 0,30% di bulan Desember 2025.

Indonesia lagi-lagi menjadi pengirim serangan malware terbanyak (61,32%). Hal ini menunjukkan bahwa banyak infrastruktur di dalam negeri, seperti server perusahaan, PC, hingga perangkat IoT, telah terinfeksi dan dijadikan ‘zombie’ untuk menyebarkan malware.

Peningkatan Tajam Eksploitasi Celah Keamanan Siber

Laporan AwanPintar.id® menemukan pergeseran dalam upaya eksploitasi terhadap celah keamanan siber atau Common Vulnerabilities & Exposures (CVE). Penyerang mulai beralih dari kerentanan lama dan mencoba mengeksploitasi kerentanan pada protokol jaringan dan infrastruktur yang penting.

Bahkan produk yang banyak digunakan oleh UKM dan konsumen tak luput dari incaran mereka, karena dianggap memiliki pengawasan yang lemah. Salah satunya adalah lonjakan eksploitasi pada CVE-2020-11900 (kerentanan pada tumpukan TCP/IP Treck).

Eksploitas ini meroket dari 1,39% menjadi 22,97% (naik 21,58%), dan ancaman terhadap CVE-2018- 13379 yang menargetkan infrastruktur VPN (Fortinet), yang mencapai 20,12%. Penyerang juga terdeteksi mengeksploitasi CVE yang terkait React Server Components untuk pengembangan web modern.

Selain itu, ada tren baru yang menunjukkan kecepatan para aktor dalam merespons celah keamanan yang baru dipublikasikan. Dari pantauan terhadap CVE yang baru dirilis pada tahun 2025, makin banyak CVE yang langsung dieksploitasi di bulan yang sama.

Ini terutama CVE yang berkaitan dengan perangkat IoT dan sistem komunikasi. Hal ini menunjukkan makin agresifnya para penyerang untuk melumpuhkan atau menyusup ke jaringan internal, serta mulai membidik infrastruktur aplikasi modern alih-alih sekadar menyerang aplikasi lama.

AwanPintar.id® merekomendasikan perusahaan untuk melakukan update pada firmware perangkat jaringan dan melakukan audit terhadap akses VPN untuk memitigasi risiko pencurian kredensial yang sedang marak.

Selain itu, organisasi juga disarankan untuk memprioritaskan patching pada layanan yang terbuka ke publik. Hal ini terbilang penting dengan tujuan untuk meminimalisir serangan atau eksploitasi yang semakin marak dilakukan oleh penjahat siber.

“Ketahanan siber nasional saat ini berada pada titik yang krusial di mana pertahanan pasif saja tidak lagi mencukupi. Industri dan perusahaan perlu mengadopsi budaya keamanan digital yang lebih proaktif dengan menerapkan manajemen kerentanan yang ketat,” pungkas Yudhi Kukuh.

Tapi, di balik tayangan “gratis” itu, ternyata ada ancaman serius yang bisa mengintai data pribadi pengguna. Premier League bersama Vidio, mitra penyiar resmi di Indonesia, meluncurkan kampanye tahunan “Boot Out Piracy”.

Kampanye ini hadir untuk mengingatkan bahaya tersembunyi dari streaming ilegal—mulai dari malware, pencurian data, hingga potensi kejahatan siber yang bisa menyeret pengguna tanpa disadari.

Menurut penelitian Profesor Paul Watters, pakar keamanan siber, situs streaming bajakan 22 kali lebih berisiko mengekspos pengguna terhadap penipuan dibandingkan situs resmi. Bahkan, 72% situs bajakan mengandung ancaman seperti malware dan phishing.

“Situs bajakan bukan hanya melanggar hak cipta—mereka juga terhubung dengan infrastruktur kriminal global yang digunakan untuk penipuan, ransomware, dan eksploitasi data pengguna,” ujar Prof. Watters.

Bukan cuma situs, perangkat streaming ilegal (ISD) juga bisa diam-diam mengubah koneksi rumah pengguna menjadi bagian dari jaringan proxy residensial, yang berpotensi dimanfaatkan untuk aktivitas kriminal online.

Dukungan Teknologi dan Aksi Nyata

Premier League bersama Vidio dan aparat hukum Indonesia sudah memblokir lebih dari 16.500 domain bajakan, termasuk ribuan aplikasi dan situs streaming ilegal. Vidio bahkan membentuk tim antipembajakan 24/7 yang memantau dan menindak pelanggaran digital setiap hari.

“Streaming ilegal bukan cuma soal kualitas gambar yang buruk, tapi soal keamanan. Mengakses situs bajakan bisa mengekspos pengguna dan keluarga mereka pada risiko pencurian data dan malware,” jelas Kevin Plumb, Penasihat Umum Premier League.

Sementara itu, Gina Golda Pangaila, General Counsel Vidio, menambahkan bahwa perjuangan melawan pembajakan bukan semata melindungi hak siar, tapi juga menjaga keselamatan digital penonton.

“Kami ingin memastikan penggemar di seluruh Indonesia bisa menikmati hiburan kelas dunia dengan aman. Karena keamanan digital sama pentingnya dengan pengalaman menonton yang berkualitas,” tegasnya.

Langkah Kolaboratif Melawan Pembajakan Digital

Untuk memperkuat pertahanan digital, Vidio juga bekerja sama dengan Google, Meta, dan TikTok, serta bergabung dengan Coalition Against Piracy (CAP) di bawah naungan Asia Video Industry Association (AVIA).

Kolaborasi ini sekaligus menegaskan posisi Vidio sebagai platform OTT yang tidak hanya fokus pada konten, tapi juga pada keamanan ekosistem digitalnya. Vidio juga terus mendorong tontonan resmi dan legal sebagai standar baru bagi penggemar sepak bola di Indonesia.

Menonton lewat situs bajakan mungkin terasa mudah dan gratis, tapi risikonya jauh lebih mahal — dari pencurian data hingga ancaman malware. Kalau ingin menikmati Premier League dengan aman, pastikan kamu menontonnya lewat layanan resmi seperti Vidio.

Trojan ini memiliki kemampuan untuk mengelola sistem berkas, mengontrol webcam, mencuri kata sandi, dan mengelola desktop secara jarak jauh. Menariknya, SambaSpy terlihat begitu menonjol karena penargetannya yang tepat.

Malware ini direkayasa untuk menginfeksi hanya pengguna yang sistemnya disetel ke bahasa Italia, memastikan keberhasilan maksimum di wilayah tersebut. Berdasarkan telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan masih berlanjut hingga kini.

“Kami terkejut dengan penargetan sempit dari serangan ini. Biasanya, penjahat siber bertujuan menginfeksi sebanyak mungkin pengguna. Tetapi, rantai infeksi SambaSpy hanya menyasar pengguna di Italia,” ujar Giampaolo Dedola, peneliti keamanan siber senior di GReAT Kaspersky.

Metode Infeksi yang Rumit

Kaspersky mengidentifikasi dua rantai infeksi yang berbeda dalam penyebaran malware ini. Salah satu metode infeksi yang sangat rumit dimulai dengan e-mail phishing yang tampaknya berasal dari salah satu perusahaan real estat di Italia.

E-mail tersebut meminta pengguna untuk melihat faktur dengan mengklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud di Italia yang resmi, dan memang digunakan untuk pengelolaan faktur. 

Namun, pengguna kemudian diarahkan ke server web berbahaya tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya.

OneDrive berbahaya itu menyimpan sebuah file PDF yang mengandung malware. Sampai di sini, telah proses pengunduhan dropper atau downloader telah dimulai, yang pada akhirnya akan mengirimkan SambaSpy RAT.

Fitur dan Kemampuan SambaSpy

SambaSpy adalah RAT dengan fitur terbilang lengkap, yang ditulis dalam bahasa pemrograman Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, termasuk:

• Manajemen sistem file dan proses
• Kontrol webcam
• Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
• Manajemen desktop jarak jauh
• Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
• Pengunggahan dan pengunduhan file
• Kemampuan untuk memuat plugin tambahan saat runtime

Meskipun target utama adalah pengguna Italia, peneliti Kaspersky menemukan hubungan kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil, yang menunjukkan bahwa pelaku ancaman mungkin berasal dari Brasil.

Sementara itu, infrastruktur yang digunakan dalam pendistribusian malware ini juga terkait dengan serangan lain di Brasil dan Spanyol, meskipun alat infeksi di wilayah ini sedikit berbeda dari yang digunakan di Italia.

Langkah-Langkah Perlindungan

Untuk memaksimalkan keamanan organisasi, Kaspersky menyarankan beberapa langkah perlindungan:

1. Jangan mengekspos layanan desktop jarak jauh seperti RDP ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat.
2. Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir.
3. Memfokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet.
4. Cadangkan data secara teratur dan pastikan dapat diakses dengan cepat dalam keadaan darurat.
5. Gunakan informasi Threat Intelligence terbaru untuk mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.

Itulah beberapa langkah dasar yang bisa dilakukan agar terhindar dari serangan SambaSpy. Berdasarkan penjelasan Kaspersky, metode penyerangan SambaSpy sangat memberikan kerugian yang besar dalam segi privasi para korbannya.