En bref
- Operasi Secure yang dikoordinasikan Interpol menargetkan ekosistem malware pencuri data (infostealer) yang menopang penyerangan dunia maya lintas benua.
- Operasi berlangsung Januari–April 2025 dan melibatkan kerja sama aparat dari 26 negara, dengan dukungan perusahaan keamanan.
- Hasil utama: lebih dari 20.000 IP/domain berbahaya diturunkan, 41 server disita, 32 tersangka ditangkap, serta 100 GB data diamankan.
- Sebanyak 216.000 korban diberi notifikasi, menandai pergeseran dari sekadar “take down” ke pemulihan korban dan pencegahan serangan lanjutan.
- Ditemukan klaster 117 server di Hong Kong yang dipakai untuk C2, phishing, penipuan online, dan scam media sosial.
- Kasus Vietnam menonjol: 18 penangkapan termasuk figur pemimpin yang diduga menjual akun korporat curian.
Di tengah meningkatnya ekonomi gelap data curian, kabar tentang Operasi Secure menjadi semacam penanda: penegakan hukum tidak lagi hanya memburu pelaku di ujung rantai, tetapi mulai memukul infrastruktur yang membuat kejahatan itu bertahan. Operasi yang dipimpin Interpol dan berlangsung empat bulan pada awal 2025 ini menyasar infostealer—jenis malware yang diam-diam menyedot kredensial, cookie peramban, hingga detail dompet kripto, lalu mengemasnya menjadi “log” untuk dijual di pasar gelap. Dengan kerja sama aparat dari 26 negara serta dukungan mitra swasta, operasi tersebut menurunkan puluhan ribu aset berbahaya, menyita server, dan memicu gelombang notifikasi korban. Dampaknya terasa hingga kini karena infostealer adalah bahan bakar banyak insiden besar: satu akun yang dicuri hari ini dapat berubah menjadi pintu masuk serangan ransomware besok. Pertanyaannya bukan lagi “apakah perusahaan bisa diserang”, melainkan “seberapa cepat kita memutus jalur suplai data curian sebelum menyebar menjadi bencana global”.
Operasi Secure Interpol dan “penurunan malware” skala global: bagaimana mesin infostealer dipukul dari hulu
Untuk memahami mengapa penurunan malware lewat Operasi Secure terasa berbeda, bayangkan infostealer sebagai industri, bukan sekadar file jahat. Ada “pabrik” (pembuat kode), ada “distributor” (penjual langganan malware-as-a-service), ada “gudang” (server untuk menyimpan log), dan ada “kurir” (phishing atau exploit) yang mengantarkan infeksi ke perangkat korban. Ketika aparat hanya menangkap satu operator, ekosistem sering tetap berjalan. Namun ketika Interpol dan mitra lintas negara memetakan dan menurunkan infrastruktur-nya, rantai pasok terganggu.
Operasi ini berlangsung dari Januari sampai April 2025. Dalam periode itu, fokusnya bukan sekadar “bersih-bersih domain”, melainkan identifikasi server berbahaya, korelasi IP, dan pengaitan aset digital dengan jaringan fisik—siapa menyewa server, di mana lokasinya, siapa operator panel C2, dan jalur pembayaran yang dipakai. Hasil akhirnya diumumkan pada pertengahan 2025: lebih dari 20.000 IP dan domain yang terkait infostealer diturunkan, dan sekitar 79% dari IP mencurigakan yang teridentifikasi berhasil didisrupsi. Angka ini penting karena menggambarkan efektivitas koordinasi; bukan sekadar jumlah, melainkan proporsi dari target yang benar-benar berhasil dipukul.
Di lapangan, “menurunkan” tidak selalu berarti mematikan situs. Kadang berupa penyitaan server, sinkholing domain agar trafik korban dialihkan untuk mitigasi, atau pemblokiran di level registrar dan penyedia hosting. Dalam Operasi Secure, aparat menyita 41 server yang menopang operasi infostealer dan mengamankan lebih dari 100 GB data. Data ini bukan hanya barang bukti; sering kali berisi daftar korban, panel administrasi, dan catatan transaksi yang membantu menelusuri pelaku lain.
Agar lebih membumi, gunakan ilustrasi sederhana: sebuah perusahaan ritel fiktif di Jakarta bernama “SagaraMart” mendapati akun admin marketplace-nya dibajak. Investigasi internal menemukan laptop staf yang terinfeksi infostealer beberapa minggu sebelumnya melalui lampiran email palsu “invoice pengiriman”. Infostealer mencuri cookie sesi dan kata sandi tersimpan, lalu mengirimnya ke server C2. Jika server C2 itu termasuk dalam aset yang diturunkan oleh Operasi Secure, peluang akunnya diperjualbelikan ke penyerang lain ikut berkurang—karena “gudang log” dan panel kendali tak lagi bisa diakses. Ini menunjukkan bagaimana operasi penegakan hukum dapat menekan risiko lanjutan, bahkan bagi korban yang tidak pernah tahu mereka terinfeksi.
Yang menarik, operasi ini juga menegaskan bahwa medan tempur keamanan siber adalah kolaborasi. Para pelaku memanfaatkan hosting murah lintas yurisdiksi, domain sementara, dan kanal komunikasi terenkripsi. Jawabannya pun harus lintas batas, karena kejahatan tidak memandang paspor. Insight kuncinya: ketika global supply chain data curian diputus, efeknya merembet ke banyak jenis penyerangan dunia maya yang bergantung pada kredensial bocor.
Data yang dicuri infostealer: dari kredensial, cookie, hingga dompet kripto yang memicu serangan lanjutan
Infostealer tidak perlu menghancurkan sistem untuk menjadi berbahaya. Kekuatan utamanya adalah diam-diam menguras identitas digital korban. Biasanya yang dicuri meliputi kredensial akun (email, SaaS perusahaan, VPN), cookie peramban yang bisa melewati autentikasi, serta detail dompet cryptocurrency. Dalam praktiknya, data ini dikemas menjadi “log”—paket berisi ribuan entri yang diberi label berdasarkan negara, jenis akun, atau nilai potensial. Di pasar kejahatan siber, “log” adalah mata uang.
Bayangkan seseorang bernama Dimas, staf keuangan di perusahaan konstruksi. Ia menyimpan kata sandi di browser karena dikejar tenggat. Sekali perangkatnya terinfeksi, cookie dan password manager menjadi target cepat. Penyerang tidak perlu menebak kata sandi; cukup “mengambil” apa yang sudah tersimpan. Dari sini, serangan bisa naik kelas: pengambilalihan email untuk mengubah nomor rekening pada invoice, akses ke dashboard pembayaran, hingga peretasan sistem HR untuk mengambil data karyawan. Banyak kasus kebocoran besar dalam beberapa tahun terakhir berawal dari kredensial yang valid—bukan dari exploit rumit.
“Logs” sebagai komoditas dan alasan pasar gelap tetap hidup
Kenapa logs laku? Karena logs menurunkan biaya serangan. Penjahat pemula dapat membeli akses siap pakai, sementara kelompok berpengalaman menggunakan logs untuk memilih target bernilai tinggi. Dari perspektif bisnis kriminal, infostealer memberi skala: sekali kampanye phishing berhasil, ratusan perangkat bisa menghasilkan ribuan akun. Di sini, infrastruktur seperti server C2 dan panel admin adalah pusat distribusi, sehingga ketika Operasi Secure menurunkannya, pasokan logs ikut tersendat.
Dalam ekosistem ini, bahkan ada model langganan. Salah satu infostealer yang banyak disorot, Lumma, pernah dipasarkan sebagai layanan berbayar—aksesnya dijual ke penjahat lain dengan kisaran US$250–US$1.000 per periode langganan. Model ini mirip SaaS legal: ada pembaruan, dukungan, dan “fitur” baru untuk menghindari deteksi. Ketika penegak hukum menargetkan malware yang dioperasikan seperti bisnis, strategi terbaik adalah memukul aset bisnisnya: domain, server, akun promosi, dan kanal distribusi.
Dampak nyata pada korban: dari akun dicuri hingga rangkaian insiden besar
Di level korporasi, data curian dari infostealer telah dikaitkan dengan berbagai insiden besar yang ramai diberitakan beberapa tahun terakhir—mulai dari sektor kesehatan, pendidikan, ritel, DevOps, hingga layanan cloud. Polanya berulang: kredensial yang dicuri hari ini dipakai untuk masuk tanpa alarm besok. Lalu penyerang mengeskalasi hak akses, menanam backdoor, dan akhirnya memeras organisasi.
Yang membuat situasi genting pada 2026 adalah percepatan kerja jarak jauh dan ketergantungan SaaS. Satu akun SSO yang jatuh bisa membuka puluhan aplikasi. Cookie sesi juga membuat MFA “seolah tidak ada” jika sesi sudah tervalidasi. Karena itu, notifikasi korban menjadi langkah penting: dalam Operasi Secure, 216.000 korban diberi peringatan. Notifikasi memungkinkan reset kredensial, pencabutan sesi, rotasi token API, dan audit aktivitas—tindakan yang sering lebih efektif daripada sekadar menghapus file malware dari perangkat.
Poin penutup yang sering luput: infostealer memonetisasi identitas, bukan mesin. Selama identitas digital tetap longgar, penjahat akan terus menang. Maka, memukul pasokan logs sekaligus memperkuat higiene identitas adalah dua sisi strategi yang tidak bisa dipisahkan.
Di bawah ini, gambaran ringkas target dan dampak infostealer yang relevan untuk tim keamanan siber:
Komponen yang Dicuri |
Contoh Dampak |
Mitigasi Cepat |
|---|---|---|
Kredensial (email, VPN, SaaS) |
Pengambilalihan akun, akses awal ke jaringan, penyusupan ke aplikasi bisnis |
Reset kata sandi, wajibkan MFA, audit login anomali |
Cookie / token sesi |
Bypass autentikasi, pembajakan sesi tanpa perlu password |
Cabut sesi aktif, perketat durasi sesi, device binding |
Dompet kripto / seed phrase |
Pencurian aset digital, transaksi cepat sulit dibatalkan |
Pindahkan dana, rotasi wallet, gunakan hardware wallet |
Data browser (autofill, riwayat) |
Social engineering lebih meyakinkan, serangan lanjutan lebih presisi |
Hapus data tersimpan, kebijakan endpoint, edukasi phishing |
Dengan memahami “isi” yang dicuri, kita lebih mudah melihat mengapa tindakan penegakan hukum yang menarget infrastruktur bisa menekan risiko secara sistemik—dan itu membawa kita ke kisah koordinasi 26 negara di balik Operasi Secure.
Kerja sama 26 negara dalam Operasi Secure: dari pemetaan jaringan hingga penangkapan lintas yurisdiksi
Keberhasilan Operasi Secure tidak lahir dari satu trik teknis, melainkan orkestrasi. Dalam operasi lintas negara, tantangannya bukan hanya menemukan server berbahaya, tetapi menyelaraskan proses hukum, waktu eksekusi, dan pembagian intelijen. Jika satu pihak bergerak terlalu cepat, pelaku di wilayah lain bisa menghapus jejak. Karena itu, empat bulan operasi (Januari–April 2025) memberi ruang untuk mengidentifikasi target, memverifikasi kaitan dengan infostealer, lalu mengeksekusi tindakan serentak.
Secara praktis, Interpol berperan sebagai penghubung: menyatukan temuan dari berbagai unit siber nasional, menyelaraskan terminologi teknis, dan mengoordinasikan “daftar sasaran” yang dapat ditindak di masing-masing yurisdiksi. Ini penting karena satu domain bisa terdaftar di negara A, dihosting di negara B, operator berada di negara C, dan korbannya tersebar di negara D hingga Z. Tanpa mekanisme koordinasi, hasilnya akan terpecah-pecah.
Angka hasil operasi dan maknanya bagi pertahanan global
Hasil yang diumumkan menunjukkan skala tindakan: 32 tersangka ditangkap, 41 server disita, dan lebih dari 20.000 aset jaringan (IP/domain) diturunkan. Selain itu, 100 GB data disita sebagai bukti dan bahan investigasi lanjutan. Angka-angka ini bukan sekadar statistik; ia memberi sinyal pada pasar gelap bahwa biaya operasional meningkat. Ketika server sering disita dan domain cepat mati, “umur simpan” kampanye infostealer memendek, sehingga margin keuntungan menurun.
Ada temuan yang menonjol: aparat mengidentifikasi klaster 117 server di Hong Kong yang diduga dipakai sebagai infrastruktur command-and-control, serta mendukung phishing, penipuan online, dan scam media sosial. Klaster semacam ini menggambarkan konsolidasi: pelaku tidak selalu menyebar asetnya tipis-tipis; kadang mereka menumpuk di lokasi tertentu karena alasan biaya, kinerja, atau celah kepatuhan. Bagi pembela, ini pelajaran tentang pentingnya pemantauan konsentrasi anomali—misalnya, banyak domain baru mengarah ke rentang IP yang sama.
Kisah Vietnam sebagai contoh “titik henti” rantai pasok akun korporat
Penanganan di Vietnam sering disebut sebagai highlight. Polisi setempat menangkap 18 tersangka, termasuk sosok yang diduga memimpin kelompok penjualan akun korporat. Ini menarik karena memperlihatkan pergeseran fokus: bukan hanya pembuat malware, tetapi pedagang akses yang menjembatani infeksi dengan monetisasi. Dalam penggerebekan, aparat juga menyita perangkat, kartu SIM, dokumen registrasi bisnis, dan uang tunai sekitar US$11.500. Detail seperti dokumen registrasi bisnis mengindikasikan kamuflase legal—seolah operasi kriminal berjalan di balik administrasi perusahaan “normal”.
Operasi lintas wilayah juga menghasilkan penangkapan tambahan di tempat lain, termasuk 12 orang di Sri Lanka dan 2 di Nauru melalui pengembangan penyelidikan. Ini menunjukkan efek domino: setelah server disita dan data diambil, jaringan relasi pelaku dapat dipetakan, membuka pintu untuk tindakan berikutnya.
Untuk publik, “32 penangkapan” mungkin terdengar kecil dibanding luasnya ancaman. Namun dalam kejahatan siber, menangkap beberapa operator kunci—terutama pengelola panel, broker akses, atau administrator infrastruktur—sering menciptakan kekosongan keahlian dan kepercayaan di pasar gelap. Ketika rasa aman pelaku runtuh, transaksi melambat. Insight akhirnya: kerja sama lintas 26 negara bukan hanya simbol diplomasi, melainkan strategi untuk memotong jalur lari pelaku di ruang digital yang tanpa batas.
Langkah berikutnya yang patut dibahas adalah bagaimana sektor swasta ikut mendorong efektivitas operasi, terutama lewat intelijen yang sulit didapat aparat sendirian.
Peran mitra swasta dan intelijen ancaman: Kaspersky, Group-IB, Trend Micro dalam membongkar infrastruktur
Dalam banyak operasi keamanan siber modern, garis pemisah antara penegakan hukum dan riset teknis semakin tipis. Aparat memiliki kewenangan legal untuk penyitaan, penangkapan, dan koordinasi lintas negara. Namun perusahaan keamanan punya sensor: telemetri malware, sampel file, indikator kompromi, serta kemampuan memetakan kampanye dalam hitungan jam. Operasi Secure memanfaatkan dua kekuatan ini, dibantu mitra seperti Kaspersky, Group-IB, dan Trend Micro.
Secara spesifik, Group-IB menyampaikan bahwa tindakan ini berdampak pada infrastruktur yang terkait dengan beberapa keluarga infostealer, termasuk Lumma, RisePro, dan META Stealer. Yang membuat kontribusi semacam ini krusial adalah konteks: satu keluarga infostealer tidak berdiri sendiri. Ia punya “brand”, panel kontrol, jaringan afiliasi, dan saluran pemasaran. Mengetahui titik-titiknya membantu aparat memilih sasaran yang bila dijatuhkan akan memutus banyak cabang sekaligus.
Intelijen “mission-critical”: dari indikator teknis sampai jejak promosi Telegram dan dark web
Di lapisan teknis, peneliti biasanya memberikan daftar IP, domain, hash file, sertifikat, pola beaconing, dan artefak konfigurasi. Tetapi nilai tambah terbesar sering ada di “lapisan manusia”: akun Telegram, forum dark web, dan identitas vendor yang memasarkan malware atau menjajakan logs. Group-IB, misalnya, melacak akun yang dipakai operator untuk mengiklankan layanan dan menjual data. Ini penting karena banyak pelaku lebih ceroboh saat berdagang daripada saat menulis kode. Mereka meninggalkan jejak gaya bahasa, jam aktif, hingga pola pembayaran.
Untuk menggambarkan dampaknya, kembali ke contoh SagaraMart. Tim keamanan internal mungkin hanya melihat lonjakan login dari lokasi asing. Namun peneliti eksternal bisa mengaitkan kredensial itu dengan “bundle logs” yang sedang dipasarkan di kanal tertentu, lengkap dengan label industri dan nilai jual. Ketika informasi itu dibagikan ke aparat, mereka tidak sekadar menutup satu situs, tetapi bisa menarget akun penjual dan infrastruktur penyimpanan yang dipakai berulang kali.
Operasi Secure sebagai kelanjutan dari disrupsi sebelumnya: Lumma dan META
Operasi Secure juga tidak terjadi dalam ruang hampa. Lumma, misalnya, sebelumnya sudah mengalami disrupsi besar pada Mei 2025 lewat upaya internasional lain yang melibatkan otoritas AS dan mitra industri, termasuk penyitaan sekitar 2.300 domain yang terkait layanan infostealer berbasis langganan. Jika melihatnya sebagai rangkaian, maka Operasi Secure memperkuat pesan: ekosistem yang mencoba bangkit kembali akan kembali diburu, terutama di sisi infrastruktur yang harus mereka sewa dan rawat.
META Stealer pun pernah terpukul pada Oktober 2024 melalui sebuah operasi yang menyita infrastruktur dan data platform terkait. Pola ini memperlihatkan evolusi kebijakan: dari pendekatan sporadis ke model “pressure campaign” berulang. Dalam dunia global yang serba terhubung, tekanan berlapis sering lebih efektif daripada satu razia besar, karena pelaku belajar dan beradaptasi. Pertanyaannya: apakah penegak hukum bisa beradaptasi lebih cepat? Operasi Secure menunjukkan jawabannya bisa “ya” ketika intelijen swasta dan wewenang publik berjalan seirama.
Di akhir bagian ini, satu insight menonjol: perang melawan infostealer bukan hanya soal teknologi, melainkan ekosistem. Saat peneliti memetakan komunitas dan aparat mengeksekusi tindakan, ruang gerak penjahat menyempit—dan itu membuka ruang bagi organisasi untuk memperkuat pertahanan dari sisi internal.
Dari operasi penegakan hukum ke strategi organisasi: langkah konkret menghadapi infostealer pada 2026
Operasi Secure memberi harapan, tetapi tidak menggantikan pekerjaan rumah organisasi. Ketika Interpol menurunkan puluhan ribu aset, pelaku akan membangun ulang—sering dengan teknik yang lebih rapi. Karena itu, organisasi perlu memandang operasi penegakan hukum sebagai “jendela kesempatan”: masa ketika banyak panel C2 terganggu, korban diberi notifikasi, dan tim bisa mempercepat perbaikan tanpa dikejar serangan beruntun.
Untuk memandu pembahasan yang praktis, kita gunakan tokoh fiktif lain: Rani, pemimpin TI di perusahaan logistik menengah yang punya cabang di tiga negara. Setelah menerima notifikasi bahwa beberapa akun karyawan muncul dalam kumpulan logs, ia menghadapi dilema: apakah cukup reset password? Pengalaman menunjukkan reset saja sering tidak cukup, karena cookie sesi, token API, dan integrasi SaaS tetap bisa menjadi pintu masuk. Maka respons harus berlapis.
Pola serangan yang relevan (MITRE ATT&CK) dan titik kontrol yang sering terlambat
Banyak infeksi infostealer dimulai dari phishing atau eksploitasi kerentanan aplikasi. Setelah berhasil masuk, pelaku mencoba mempertahankan akses (persistence) dan kadang menaikkan hak (privilege escalation) untuk mengakses lebih banyak data. Meski tidak semua infostealer butuh eskalasi, banyak operator menggabungkannya dengan alat lain agar bisa mencuri token, menonaktifkan keamanan, atau memperluas jangkauan.
Titik kontrol yang sering terlambat biasanya berada di sisi identitas: SSO yang tidak punya kebijakan risiko, MFA yang tidak tahan terhadap pembajakan sesi, atau kebiasaan menyimpan kata sandi di browser tanpa proteksi. Pada 2026, banyak organisasi sudah punya MFA, tetapi tidak semua menerapkan “phishing-resistant MFA” atau pengikatan sesi ke perangkat. Cookie theft membuat banyak tim kaget karena serangan terlihat seperti login normal.
Checklist praktis untuk menutup celah setelah notifikasi korban
Berikut langkah yang bisa dieksekusi dalam 24–72 jam setelah indikasi infostealer, baik dari notifikasi eksternal maupun temuan internal. Daftar ini sengaja dibuat operasional, karena waktu adalah faktor penentu dalam mencegah eskalasi penyerangan dunia maya:
- Cabut semua sesi aktif untuk akun berisiko (email, SSO, VPN, aplikasi keuangan), bukan hanya ganti kata sandi.
- Rotasi token dan API keys di sistem DevOps, integrasi pihak ketiga, dan layanan cloud; banyak insiden besar berawal dari token lama.
- Audit aturan forwarding email dan OAuth consent pada akun pengguna, karena penyerang sering menanam mekanisme pengintaian diam-diam.
- Perketat kebijakan akses berbasis lokasi/perangkat (conditional access), terutama untuk admin dan keuangan.
- Endpoint sweep pada perangkat yang diduga terinfeksi, termasuk pemeriksaan ekstensi browser mencurigakan dan artefak infostealer.
- Komunikasi internal yang jelas: contoh email phishing yang digunakan, tanda-tanda infeksi, dan kanal pelaporan cepat.
Menghubungkan pelajaran Operasi Secure dengan tata kelola risiko
Operasi Secure menunjukkan bahwa serangan hari ini adalah ekonomi. Jika organisasi ingin memutus insentif pelaku, mereka harus membuat data curian “kurang berguna”. Caranya: memperpendek umur sesi, menerapkan MFA yang kuat, membatasi hak istimewa, dan memantau perilaku login. Bahkan bila kredensial bocor, dampak bisa dibatasi bila akses tidak bisa dipakai lama atau tidak bisa dipakai dari perangkat asing.
Di sisi lain, operasi ini juga mengajarkan pentingnya relasi dengan pihak luar: CERT nasional, penyedia layanan cloud, bank, dan vendor keamanan siber. Ketika terjadi notifikasi massal seperti 216.000 korban dalam Operasi Secure, organisasi yang punya prosedur respons akan bergerak lebih cepat daripada yang baru menyusun SOP saat krisis.
Insight penutupnya sederhana namun keras: penegakan hukum dapat menurunkan infrastruktur kriminal, tetapi ketahanan organisasi ditentukan oleh disiplin identitas, kebersihan endpoint, dan kesiapan respons—tiga hal yang membuat data curian kehilangan daya rusaknya di panggung global.
