Halo! Jadi, saya baru saja membaca ulasan terbaru tentang ancaman siber, dan benar-benar banyak hal menarik di sana. Ternyata, pada tahun 2026 kita akan menghadapi bukan hanya peningkatan kompleksitas serangan, tetapi juga perombakan total tentang bagaimana para penjahat siber bekerja. Saya ingin berbagi tren utama yang perlu diperhatikan.

Mari kita mulai dengan fakta bahwa batas antara serangan siber massal dan target hampir hilang. Dulu, sangat sederhana: penyebaran malware atau phishing massal terhadap ribuan orang, sedangkan serangan target memerlukan intelijen dan sumber daya yang serius. Sekarang? Otomatisasi, model AI yang tersedia secara umum, dan komersialisasi infrastruktur kriminal memungkinkan pelaku kejahatan menerapkan teknik canggih bahkan dalam kampanye massal. Phishing menjadi lebih berkualitas, lebih meyakinkan, dan lembaga pemerintah, industri, serta perusahaan TI menjadi target utama.

Saya juga ingin menyoroti topik kepercayaan sebagai vektor serangan. Ketika berbicara tentang serangan supply chain — ini saat pelaku menyisipkan malware ke dalam perangkat lunak yang kemudian diunduh korban. Menurut Cyble, pada Oktober 2025 jumlah serangan seperti ini terhadap rantai pasok perangkat lunak meningkat 30% dari rekor sebelumnya. Tapi itu belum semuanya. Perusahaan diretas melalui mitra, kontraktor, dan pemasok. Alih-alih menyerang langsung perusahaan yang dilindungi, penjahat masuk melalui “pintu belakang” — meretas pihak yang memiliki akses. Dalam enam bulan, vektor ini digunakan dalam 28% serangan siber, meningkat 15%.

Shadow AI — inilah yang benar-benar mengkhawatirkan. Dalam tiga bulan pertama tahun 2025, penggunaan platform genAI meningkat 50%, dan lebih dari separuhnya adalah shadow AI, yaitu karyawan menggunakan alat tanpa persetujuan departemen TI. Informasi rahasia bisa saja bocor ke layanan publik. Selain itu, 63% perusahaan tidak menilai keamanan alat AI sebelum diimplementasikan, dan 86% perusahaan mengalami insiden keamanan terkait AI dalam 12 bulan terakhir. Plus, 45% kode yang dihasilkan neural network mengandung kerentanan.

Perusuh evolusi. Doble ransomware (ketika data pertama diambil, lalu dienkripsi) tetap menjadi taktik dominan — 87% kasus. Tapi muncul juga serangan triple dan quadruple. Taktik menarik dari grup SecP0 — mereka menuntut tebusan bukan untuk data yang dienkripsi, tetapi untuk kerentanan tersembunyi. Perusuh bahkan menawarkan konsultasi hukum kepada mitra agar mereka lebih efektif menekan korban. Operator Anubis menambahkan fitur Wiper untuk memaksa korban membayar lebih cepat.

AI yang digunakan oleh penyerang — ini bukan hanya tentang kode Vibe. LLM digunakan untuk membuat malware (walaupun hasilnya sering belum matang dan membutuhkan pengembangan), pembuatan skrip tertentu, dan penyamaran VPO. Tapi yang paling menarik, ada malware yang menggunakan LLM sendiri. Program PromptLock dari ESET menggunakan model GPT lokal untuk menghasilkan skrip Lua berbahaya secara real-time. Berjalan di Windows, Linux, dan macOS. Ada juga contoh lain — LameHug menggunakan LLM untuk menghasilkan perintah shell.

Sistem operasi: Windows tidak lagi menjadi satu-satunya raja ancaman siber. Ya, pada 2022, 86% insiden terjadi di Windows, tetapi pada 2025 turun menjadi 84%. Sebaliknya, macOS mendapatkan perhatian — peningkatan ancaman sebesar 400% dari 2023 ke 2024. Linux juga tren, terutama setelah migrasi massal ke infrastruktur Linux. Grup APT sudah mengadaptasi alat Windows untuk platform lain. LockBit 5.0 menargetkan Windows, Linux, dan ESXi. Khususnya, ketertarikan terhadap hypervisor seperti VMware ESXi — peretasan satu hypervisor bisa berarti seluruh mesin virtual terinfeksi.

Virus-transformer — malware hibrida yang menggabungkan fungsi beberapa jenis malware sekaligus. Sangat menguntungkan bagi penjahat: pusat kendali terpusat, adaptasi ke berbagai lingkungan, skalabilitas. Dasarnya biasanya RAT, yang memungkinkan akses berkelanjutan.

AV/EDR killers menjadi bagian tak terpisahkan dari arsenal. Teknik populer BYOVD (Bring Your Own Vulnerable Driver) — pelaku menginstal driver yang sah tetapi rentan, memanfaatkan bug terkenal untuk meningkatkan hak akses, dan menonaktifkan antivirus atau EDR. Di forum gelap, alat ini dijual seharga sekitar 1500 dolar per build untuk satu antivirus.

Phishing sebagai layanan (PhaaS) berkembang pesat. Platform baru seperti VoidProxy, Salty2FA, Whisper 2FA menurunkan hambatan masuk bagi penjahat yang kurang terampil. Biaya berlangganan sekitar 250 dolar. Platform ini termasuk bypass MFA (Tycoon 2FA digunakan dalam 76% serangan PhaaS), template phishing, alat kloning situs, dukungan CAPTCHA, metode bypass perlindungan. Misalnya, Darcula menambahkan dukungan AI generatif, memungkinkan penyesuaian formulir sesuai bahasa dan wilayah. Gabagool membagi satu kode QR berbahaya menjadi dua bagian untuk menghindari filter.

Deepfake dan dipose — ini yang benar-benar menakutkan. Menurut Gartner, 62% organisasi dalam 12 bulan terakhir mengalami serangan dengan deepfake. Pada Q1 2025, tercatat 179 kasus, meningkat 19% dari seluruh 2024. Di Rusia, jumlah deepfake meningkat sepertiga sejak awal 2025. Menariknya, teknik T1123 (Audio Capture) menduduki posisi pertama dalam penggunaan — sebelumnya bahkan tidak masuk 10 besar. Ada insiden konferensi video di Zoom dengan deepfake eksekutif top, pesan suara dari pejabat. Membuat deepfake tidak sulit — layanan deepfake as a service (DaaS) mulai dari 50 dolar per video dan 30 dolar per suara.

AI sebagai penguat social engineering — ini cerita tersendiri. Menurut Gartner, penerapan AI memungkinkan pelaku mengurangi biaya lebih dari 95%. Perusahaan Hoxhunt menemukan bahwa agen AI menciptakan email phishing yang lebih efektif daripada tim red team berpengalaman — 24% lebih efektif pada Maret 2025. Microsoft mencatat: email biasa dibuka oleh 12% penerima, email dari neural network oleh 54%. AI dapat menghasilkan konten yang realistis, otomatisasi kampanye secara massal (IBM mengembangkan email dalam 5 menit dan 5 petunjuk, yang sebelumnya memakan waktu 16 jam), membuat deepfake, personalisasi untuk target tertentu. Di forum gelap, dijual SpamGPT — layanan pengiriman massal yang menghindari sistem anti-spam, menjamin pengiriman ke Outlook, Yahoo, Office 365, Gmail.

Vishing (voice phishing) semakin populer. Proporsi penggunaannya meningkat 2 poin persen selama 2025. Grup ShinyHunters melancarkan serangkaian serangan ke perusahaan besar (Adidas, Allianz Life, LVMH, Qantas) melalui vishing di Salesforce. Penyebabnya — maraknya kerja jarak jauh (52% karyawan di AS bekerja hybrid, pada Januari 2019 hanya 32%) dan karena karyawan sering berkomunikasi dengan orang yang tidak dikenal secara langsung.

File SVG — tren tak terduga. Pada 2024, digunakan dalam kurang dari 1% serangan, dan pada Desember 2025 hampir 5%. Untuk pengguna, ini hanya gambar, tetapi sebenarnya SVG ditulis dalam XML dan bisa berisi HTML dan JavaScript. Microsoft melaporkan kampanye phishing di mana lampiran berbahaya meniru PDF, tetapi sebenarnya adalah file SVG berisi kode JavaScript.

ClickFix — teknik di mana pengguna sendiri yang memulai infeksi. Menurut ESET, pada semester pertama 2025, proporsi serangan ClickFix meningkat lebih dari 500% dibandingkan semester kedua 2024. Menggunakan skenario CAPTCHA, instruksi, pembaruan palsu. Grup APT besar seperti (MuddyWater, Kimsuky, Lazarus) menambahkannya ke arsenal mereka. ClickFix juga muncul di luar Windows — ada versi untuk Linux dan macOS. Kemudian muncul FileFix (melalui File Explorer) dan PromptFix (untuk sistem AI).

Kerentanan menjadi katalisator serangan massal. Pada semester pertama 2025, lebih dari 23.600 kerentanan terungkap, meningkat 16% dibandingkan periode yang sama tahun 2024. Pasar kerentanan dan eksploit di dark web berkembang — hampir 30% iklan terkait pembelian, harga berkisar dari 1000 hingga 20.000 dolar, kadang mencapai jutaan. Ada iklan PoC-exploit untuk kerentanan zero-day di JavaScript (berada di 99% situs) seharga 800 ribu dolar. Model EaaS (exploit as a service) memungkinkan serangan satu klik, menurunkan ambang masuk. Kelompok Earth Minotaur menggunakan exploit kit MOONSHINE — pada 2024, infrastruktur ini terdiri dari lebih dari 55 server.

AI dalam pengembangan exploit — ini kenyataan. Big Sleep dari Google menemukan kerentanan zero-day di SQLite sebelum dieksploitasi. GreyNoise menggunakan LLM untuk mendeteksi kerentanan di kamera internet. Framework PwnGPT menggunakan LLM untuk menganalisis kerentanan, menghasilkan exploit, dan menguji konsep. Untuk OpenAI o1-preview, kemungkinan pengungkapan meningkat dari 26,3% menjadi 57,9%, dan untuk GPT-4o dari 21,1% menjadi 36,8%. Platform HexStrike AI dikembangkan sebagai alat pengujian, tetapi dalam beberapa jam setelah rilis sudah digunakan untuk mengeksploitasi kerentanan di Citrix NetScaler — waktu eksploitasi berkurang dari hari menjadi 10 menit.

Perangkat periferal — front baru. Pada H1-2025, kerentanan paling sering ditemukan di solusi Cisco, Citrix, Fortinet, Sonicwall, Zyxel. Proporsi perangkat periferal dalam insiden mencapai 22%, hampir delapan kali lipat dari tahun lalu. Peretasan VPN gateway atau firewall memberikan akses langsung ke jaringan internal. Google Mandiant menyoroti kerentanan CVE-2024-3400 di Palo Alto Networks sebagai yang paling dieksploitasi pada 2024.

Alat RMM — target berharga. Pasar RMM pada 2023 diperkirakan bernilai 918,51 juta dolar, dan diproyeksikan mencapai 1548,94 juta dolar pada 2030 dengan CAGR 9%. Peretasan RMM bukan hanya kompromi satu node, tetapi mendapatkan akses ke seluruh infrastruktur. Microsoft Defender Experts mengamati eksploitasi kerentanan zero-day di BeyondTrust Remote Support, ConnectWise ScreenConnect, SimpleHelp.

Initial Access Brokers (IABs) — ini segmen pasar gelap tersendiri. Dalam dua tahun (Q1 2023 – Q1 2025), jumlah iklan penjualan akses meningkat lebih dari 100%. IABs fokus pada bypass perlindungan perimeter melalui layanan rentan, kredensial curian, akses jarak jauh yang tidak terlindungi. Sebagian besar akses didasarkan pada data dari infostiler. Setelah mendapatkan akses, mereka mengamankan dengan akun administrator tersembunyi atau web shells. Harga rata-rata akses sekitar 500-3000 dolar, dan untuk kontrol penuh atas domain bisa diminta 10.000+ dolar. Pendekatan ini menguntungkan semua pihak: operator RaaS bisa fokus pada pengembangan, sementara IABs mendapatkan pendapatan stabil dengan risiko deteksi minimal.

Itulah gambaran ancaman di tahun 2026. Yang utama — organisasi harus memahami bahwa ancaman siber berkembang lebih cepat dari sebelumnya, dan investasi dalam memperkuat infrastruktur TI, pelatihan karyawan, serta manajemen kerentanan adalah bukan pilihan, tetapi keharusan.