Inggris Peringatkan Peretas Tiongkok Gunakan Jaringan Proksi untuk Hindari Deteksi

Pusat Keamanan Siber Nasional Inggris (NCSC-UK) bersama para mitra internasionalnya mengeluarkan peringatan keras bahwa aktor ancaman yang terkait dengan Tiongkok semakin gencar menggunakan jaringan proksi berskala besar. Jaringan rahasia ini sebagian besar terdiri dari perangkat konsumen yang dibajak, yang dimanfaatkan untuk menghindari deteksi dan menyembunyikan asal muasal serangan siber mereka.

Peralihan Taktik ke Botnet Masif (SOHO & IoT)

Peringatan bersama ini—yang turut ditandatangani oleh badan intelijen dari Amerika Serikat, Australia, Kanada, Jerman, Jepang, Belanda, Selandia Baru, Spanyol, dan Swedia—mengungkapkan adanya pergeseran taktik yang signifikan.

Mayoritas kelompok peretasan Tiongkok kini telah beralih dari infrastruktur peretasan yang diadakan secara individual menuju botnet raksasa. Target utama pembajakan ini adalah router kantor kecil dan rumah (SOHO), kamera yang terhubung ke internet (IoT), perekam video, serta peralatan penyimpanan yang terhubung ke jaringan (NAS).

Botnet masif ini memungkinkan peretas untuk merutekan lalu lintas internet mereka melalui rantai perangkat yang telah disusupi. Mereka memasuki jaringan di satu titik, melompati beberapa node perantara, dan akhirnya keluar di dekat target yang dituju untuk mengecoh deteksi geografis.

“NCSC meyakini bahwa sebagian besar aktor ancaman yang terkait dengan Tiongkok menggunakan jaringan ini […], bahwa banyak jaringan rahasia telah dibuat dan terus diperbarui, dan bahwa satu jaringan rahasia dapat digunakan oleh banyak aktor sekaligus,” urai peringatan bersama tersebut.

Raptor Train dan KV-Botnet: Contoh Skala Ancaman

Salah satu contoh botnet raksasa Tiongkok yang berhasil diungkap adalah Raptor Train. Botnet ini dilaporkan menginfeksi lebih dari 260.000 perangkat di seluruh dunia pada tahun 2024.

Biro Investigasi Federal (FBI) AS mengaitkan infrastruktur ini dengan aktivitas berbahaya kelompok peretas Flax Typhoon (yang didukung negara Tiongkok) serta perusahaan Tiongkok Integrity Technology Group (yang telah dijatuhi sanksi pada Januari 2025). FBI berhasil mengganggu operasi Raptor Train pada bulan September 2024 setelah mendeteksi kampanye mereka yang menargetkan entitas militer, pemerintah, pendidikan tinggi, dan telekomunikasi, terutama di AS dan Taiwan.

Jaringan lain yang tak kalah berbahaya adalah KV-Botnet yang digunakan oleh kelompok peretas Volt Typhoon. Botnet ini sebagian besar mengeksploitasi router Cisco dan Netgear yang rentan, usang, dan tidak lagi menerima tambalan keamanan. Meskipun FBI berhasil menyapu bersih malware dari router yang terinfeksi pada Januari 2024, Volt Typhoon dilaporkan perlahan-lahan mulai menghidupkannya kembali pada bulan November 2024.

Saran Pertahanan Baru untuk Organisasi

“Operasi botnet mewakili ancaman signifikan bagi Inggris dengan mengeksploitasi kerentanan pada perangkat yang terhubung ke internet sehari-hari dengan potensi untuk melakukan serangan siber skala besar,” tegas Paul Chichester, Direktur Operasi NCSC-UK.

Badan intelijen Barat memperingatkan bahwa pertahanan keamanan tradisional, yang biasanya hanya mengandalkan pemblokiran daftar alamat IP statis, kini menjadi semakin tidak efektif. Hal ini dikarenakan botnet terus-menerus mendaur ulang dan menambahkan node baru yang disusupi.

Sebagai langkah mitigasi modern, para pembela jaringan di tingkat organisasi kecil, menengah, hingga besar sangat disarankan untuk:

• Menerapkan Autentikasi Multifaktor (MFA).
• Memetakan secara detail semua perangkat tepi jaringan (network edge devices).
• Memanfaatkan umpan ancaman dinamis (dynamic threat feeds) yang secara aktif memperbarui indikator jaringan rahasia yang diketahui.
• Menetapkan daftar izin IP (IP allowlists), menerapkan kontrol zero-trust, dan menggunakan verifikasi sertifikat mesin jika memungkinkan.