Google Threat Intelligence Group (GTIG) melaporkan bahwa sepanjang 2025 terdapat 90 kerentanan zero-day yang dieksploitasi secara aktif di dunia nyata. Hampir separuhnya menargetkan perangkat lunak dan appliance enterprise.
Angka ini meningkat sekitar 15% dibandingkan 2024 yang mencatat 78 zero-day, meski masih di bawah rekor 100 zero-day yang terdeteksi pada 2023.
Zero-day merupakan celah keamanan yang dieksploitasi sebelum vendor mengetahui atau merilis patch, sehingga sangat bernilai bagi pelaku ancaman karena dapat membuka akses awal, memungkinkan eksekusi kode jarak jauh, atau eskalasi hak istimewa.
Target: Enterprise dan Platform Pengguna
Dari total 90 zero-day yang dilacak GTIG pada 2025:
- 47 menargetkan platform pengguna akhir (end-user)
- 43 menargetkan produk enterprise
Kategori celah yang dieksploitasi mencakup remote code execution (RCE), privilege escalation, injection, deserialization, bypass otorisasi, serta bug memory corruption seperti use-after-free.
Masalah keamanan terkait memori menyumbang sekitar 35% dari seluruh zero-day yang dieksploitasi tahun lalu.
Sistem Enterprise Jadi Sasaran Utama
Produk enterprise yang paling sering menjadi target meliputi appliance keamanan, infrastruktur jaringan, VPN, dan platform virtualisasi. Sistem-sistem ini umumnya memiliki akses jaringan istimewa dan sering kali tidak dilindungi oleh solusi endpoint detection and response (EDR).
Pada kategori sistem operasi, serangan memanfaatkan 24 zero-day di OS desktop dan 15 pada platform mobile.
Sebaliknya, eksploitasi zero-day pada browser web turun menjadi delapan kasus, penurunan signifikan dibanding tahun-tahun sebelumnya. Google menduga hal ini bisa disebabkan peningkatan hardening keamanan pada browser, meski tidak menutup kemungkinan pelaku ancaman kini lebih mahir menyembunyikan aktivitas mereka.
Vendor yang Paling Banyak Ditargetkan
Menurut GTIG, vendor yang paling banyak menjadi sasaran zero-day pada 2025 adalah:
- Microsoft (25 kerentanan)
- Google (11)
- Apple (8)
- Cisco dan Fortinet (masing-masing 4)
- Ivanti dan VMware (masing-masing 3)
Untuk pertama kalinya sejak Google mulai melacak eksploitasi zero-day, vendor spyware komersial (commercial spyware vendors/CSV) tercatat sebagai pengguna terbesar celah yang belum terdokumentasi, melampaui kelompok spionase yang disponsori negara.
Aktor Negara dan Kejahatan Finansial
Di antara aktor negara, kelompok spionase yang terkait Tiongkok tetap paling aktif dengan 10 zero-day dieksploitasi pada 2025. Target utama meliputi perangkat edge, appliance keamanan, dan peralatan jaringan untuk mendapatkan akses persisten jangka panjang.
Tren lain yang menonjol adalah peningkatan eksploitasi zero-day oleh aktor bermotif finansial, seperti kelompok ransomware dan pemerasan data, yang bertanggung jawab atas sembilan kerentanan tahun lalu.
GTIG juga memperkirakan penggunaan alat berbasis kecerdasan buatan (AI) akan mempercepat penemuan kerentanan dan pengembangan eksploit, sehingga volume eksploitasi zero-day pada 2026 diperkirakan tetap tinggi.
Rekomendasi Mitigasi
Untuk mendeteksi dan membatasi dampak eksploitasi zero-day, Google merekomendasikan:
- Mengurangi permukaan serangan dan eksposur hak istimewa
- Memantau sistem secara berkelanjutan untuk mendeteksi anomali
- Menerapkan patch dengan cepat
- Menyiapkan proses respons insiden yang efektif
Laporan ini menunjukkan bahwa lanskap ancaman terus berkembang, dengan pelaku memanfaatkan celah sebelum vendor sempat merespons. Organisasi dituntut meningkatkan kesiapan keamanan guna menghadapi ancaman zero-day yang semakin kompleks.