Artikel Terbaru

Iklan Digital Jadi Senjata Spyware Predator, Begini Cara Kerjanya

Ilustrasi Spyware

Ilustrasi Spyware

Sebuah temuan mengejutkan kembali mengguncang komunitas keamanan siber internasional. Seorang pengacara hak asasi manusia dari Balochistan, Pakistan, menerima tautan mencurigakan melalui WhatsApp dari nomor asing. Awalnya, kejadian tersebut tampak seperti insiden phishing biasa. Namun hasil investigasi Amnesty International mengungkap fakta jauh lebih berbahaya: ini merupakan upaya serangan spyware Predator, sebuah spyware komersial canggih milik perusahaan Intellexa.

Amnesty International menegaskan bahwa insiden tersebut menjadi pertama kalinya anggota masyarakat sipil di Pakistan teridentifikasi sebagai target Predator. Pemerintah Pakistan langsung membantah tuduhan ini dan menyebut laporan Amnesty “sama sekali tidak benar.” Namun temuan yang disajikan dalam laporan investigasi gabungan memberikan gambaran kuat bahwa operasi serangan ini bukan kasus tunggal ataupun sederhana.

Investigasi mendalam ini dilakukan bersama oleh Amnesty International, surat kabar Israel Haaretz, media Yunani Inside Story, serta situs teknologi Swiss Inside IT. Semua pihak memperoleh akses terhadap dokumen internal perusahaan, materi pemasaran, hingga video pelatihan yang bocor dari Intellexa — yang menjadi landasan bagi berbagai temuan penting mengenai teknik serangan Predator, eksploit zero-day, dan kemampuan pengawasan tingkat tinggi yang dimilikinya.

 
Apa Itu Predator dan Mengapa Ia Sangat Berbahaya?

Nama Intellexa mungkin tidak setenar perusahaan spyware lain seperti NSO Group, pengembang Pegasus. Namun di balik layar, Intellexa memainkan peran besar dalam industri spyware komersial global melalui produk andalannya, Predator.

Predator dirancang untuk mengambil alih perangkat Android maupun iOS secara diam-diam, mengakses data sensitif tanpa sepengetahuan pemilik perangkat. Dalam dokumen pemasaran yang bocor, Predator juga dipasarkan dengan berbagai nama lain, seperti:

  • Helios
  • Nova
  • Green Arrow
  • Red Arrow

Tujuan dari rebranding tersebut diyakini untuk mempermudah lisensi lintas negara dan menyamarkan jejak pemasaran dari satu klien pemerintah ke klien lainnya.

Metode serangan Predator tergolong modern dan sangat efektif. Serangan dapat dilakukan melalui:

  • zero-click: korban terinfeksi tanpa menekan apa pun
  • 1-click: korban hanya perlu membuka tautan yang dikirim ke perangkat

Begitu target membuka pesan atau tautan, perangkat akan diarahkan ke situs yang memuat eksploit zero-day — celah keamanan yang belum diketahui publik dan belum memiliki patch resmi. Eksploit tersebut kemudian dimuat di browser seperti:

  • Google Chrome (Android)
  • Apple Safari (iOS)

Jika proses eksploit berhasil, spyware Predator segera diunduh ke perangkat korban.

 
Eksploit Zero-Day yang Dikaitkan dengan Intellexa

Google Threat Intelligence Group (GTIG) mengaitkan sejumlah eksploit berbahaya dengan operasi Intellexa. Beberapa di antaranya meliputi:

  • CVE-2025-48543 - Use-after-free in Android Runtime (Google)
  • CVE-2025-6554 - Type confusion in V8 (Google Chrome)
  • CVE-2023-41993 - WebKit JIT RCE (Apple Safari)
  • CVE-2023-41992 - Kernel IPC use-after-free (Apple)
  • CVE-2023-41991 - Certificate validation bypass in Security framework (Apple)
  • CVE-2024-4610 - Use-after-free in Bifrost GPU and Valhall GPU Kernel Driver (Arm)
  • CVE-2023-4762 - Type confusion in V8 (Google Chrome)
  • CVE-2023-3079 - Type confusion in V8 (Google Chrome)
  • CVE-2023-2136 - Integer overflow in Skia (Google Chrome)
  • CVE-2023-2033 - Use-after-free in V8 (Google Chrome)
  • CVE-2021-38003 - Inappropriate implementation in V8 (Google Chrome)
  • CVE-2021-38000 - Insufficient validation of untrusted input in Intents (Google Chrome)
  • CVE-2021-37976 - Information leak in memory_instrumentation (Google Chrome)
  • CVE-2021-37973 - Use-after-free in Portals (Google Chrome)
  • CVE-2021-1048 - Use-after-free in Android Kernel (Google)

Pada 2023, Intellexa menggunakan rangkaian eksploit rumit untuk menyerang perangkat iOS milik sejumlah target di Mesir. Serangan dimulai dengan memanfaatkan CVE-2023-41993 dan modul bernama JSKit untuk menjalankan kode asli (native code). Menariknya, framework yang sama pernah digunakan oleh kelompok peretas pro-pemerintah Rusia dalam serangan terhadap situs pemerintah di Mongolia, menimbulkan dugaan bahwa sebagian eksploit Predator berasal dari pemasok pihak ketiga — bukan hanya dari riset internal Intellexa.

Setelah tahap awal eksploit, serangan meningkat ke fase kedua menggunakan CVE-2023-41991 dan CVE-2023-41992 untuk keluar dari sandbox Safari. Payload inti yang dipasang pada tahap akhir disebut PREYHUNTER, terdiri dari dua modul:

  • Modul Watcher
    Bertugas memantau kemungkinan crash atau gangguan pada sistem selama proses eksploit berlangsung. Jika Watcher mendeteksi perilaku mencurigakan atau anomali, modul ini akan otomatis menghentikan proses eksploit untuk menghindari kegagalan atau terdeteksi oleh sistem keamanan.
  • Modul Helper
    Berfungsi sebagai komponen penyadap utama. Modul ini merekam percakapan VoIP, melakukan keylogging untuk menangkap setiap pengetikan pada perangkat, serta mengambil gambar menggunakan kamera tanpa sepengetahuan pengguna.

Temuan lain menunjukkan Intellexa juga mengembangkan framework khusus untuk mengeksploitasi mesin JavaScript V8 di Google Chrome. Salah satu celahnya — CVE-2025-6554 — diketahui aktif digunakan dalam serangan di Arab Saudi pada Juni 2025.

 
Apa yang Dapat Dilakukan Predator Setelah Terpasang?

Begitu infeksi berhasil, Predator memberikan kontrol pengawasan menyeluruh kepada operator. Kemampuannya termasuk:

  • Membaca pesan pribadi dan panggilan suara
  • Mengambil email, kontak, dan password
  • Melacak lokasi perangkat pemilik secara real-time
  • Mengambil screenshot secara otomatis
  • Mengambil data aplikasi dan sistem
  • Mengaktifkan kamera dan mikrofon dari jarak jauh
  • Merekam suara sekitar tanpa menyalakan indikator perekaman

Semua data hasil penyadapan dikirimkan ke server eksternal di negara klien atau ke infrastruktur lain yang disediakan Intellexa.

Dengan kemampuan sedemikian lengkap, Predator bukan sekadar aplikasi mata-mata, melainkan perangkat pengawasan digital tingkat militer.

 
Kontroversi Akses Jarak Jauh Intellexa ke Infrastruktur Pelanggannya

Skandal penyalahgunaan spyware biasanya berpusat pada pemerintah yang memakai spyware untuk melacak jurnalis, aktivis, dan oposisi politik. Namun temuan terbaru mengungkap dimensi baru dari risiko Predator.

Laporan investigasi menyebut bahwa staf Intellexa memiliki akses jarak jauh ke sistem pengawasan klien melalui TeamViewer, termasuk infrastruktur milik pemerintah di beberapa negara.

Artinya, bukan hanya pemerintah pengguna spyware yang dapat memantau target — Intellexa sendiri masih dapat masuk dan mengendalikan sistem tersebut kapan saja.

Menurut Amnesty International, temuan ini mengindikasikan:

  • Ketiadaan standar perlindungan HAM dalam operasional perusahaan
  • Risiko bahwa Intellexa turut mengoperasikan spyware secara langsung, bukan sekadar menjual lisensi
  • Dugaan penyalahgunaan yang berujung pada pelanggaran HAM tidak bisa hanya dibebankan kepada pemerintah klien

Analisis HAM ini berpotensi membuka jalan bagi gugatan hukum tingkat internasional terhadap Intellexa.

 
Serangan Predator Tanpa Klik: Penyebaran Melalui Iklan Digital

Salah satu bagian paling mengkhawatirkan dari laporan ini adalah teknik penyebaran Predator tanpa interaksi pengguna. Intellexa membagi strateginya menjadi taktis dan strategis, termasuk teknik bernama Triton, Thor, dan Oberon. Namun yang dianggap paling mengancam adalah serangan berbasis iklan digital.

Tiga vektor strategis utama yang terungkap dari dokumen bocor:

  • Mars & Jupiter: Mengandalkan teknik injeksi jaringan yang dilakukan melalui kerja sama dengan operator seluler atau penyedia layanan internet (ISP). Dengan cara ini, lalu lintas internet milik pengguna dapat dimanipulasi sehingga perangkat otomatis diarahkan ke server berisi serangan, tanpa disadari pemilik perangkat.
  • Aladdin: Memanfaatkan sistem iklan digital sebagai media serangan. Ketika iklan berbahaya ditampilkan pada perangkat target, serangan langsung aktif tanpa memerlukan klik apa pun — cukup dengan sekadar melihat iklan tersebut, perangkat dapat terinfeksi.

Menurut Amnesty, metode Aladdin memungkinkan iklan berbahaya secara paksa tampil di perangkat target. Tanpa perlu klik apa pun — hanya melihat iklan tersebut — infeksi dapat aktif sepenuhnya.

Google memastikan bahwa teknik Aladdin memanfaatkan ekosistem iklan digital untuk mengidentifikasi korban dan mengalihkan perangkat ke server eksploit Predator. Google serta sejumlah mitra kini telah menutup akun perusahaan iklan yang dibuat Intellexa untuk menjalankan skema ini.

 
Jejak Aktivitas Predator di Berbagai Negara

Investigasi dari Recorded Future menemukan dua perusahaan — Pulse Advertise dan MorningStar TEC — diduga menjadi penyedia teknis untuk mendukung vektor serangan Aladdin.

Infrastruktur Predator masih aktif terdeteksi di beberapa negara, termasuk:

  • Arab Saudi
  • Kazakhstan
  • Angola
  • Mongolia

Sementara itu, penurunan signifikan komunikasi teknologi Predator terdeteksi di:

  • Botswana (Juni 2025)
  • Trinidad dan Tobago (Mei 2025)
  • Mesir (Maret 2025)

Penurunan ini dapat berarti bahwa negara-negara tersebut menghentikan penggunaan Predator atau sekadar memindahkan infrastruktur ke lokasi lain agar lebih sulit dideteksi.

 
Apa Dampak Temuan Ini bagi Pengguna dan Institusi?

Laporan terbaru ini menggarisbawahi tren bahwa spyware komersial kini bukan hanya alat intelijen, tetapi senjata global untuk pengawasan politis dan penyadapan tingkat tinggi.

Beberapa implikasi penting:

  1. Target tidak lagi terbatas pada kriminal tingkat tinggi atau kelompok teror
    Aktivis, jurnalis, oposisi, akademisi, dan bahkan pengacara kini berada dalam kelompok risiko.
  2. Serangan tidak lagi membutuhkan interaksi pengguna
    Teknik berbasis iklan digital menciptakan ancaman terbesar dalam sejarah spyware.
  3. Keamanan perangkat konsumen tidak cukup untuk menahan spyware negara
    Bahkan perangkat terbaru dengan patch keamanan terbaru tetap rentan jika celah zero-day belum diketahui publik.
  4. Perusahaan spyware dapat ikut bertanggung jawab atas penyalahgunaan
    Akses jarak jauh Intellexa membuka peluang tuntutan internasional yang lebih luas.

Bocoran dokumen Intellexa memberi gambaran nyata tentang evolusi ancaman digital global. Predator bukan hanya produk teknologi — melainkan representasi era baru pengawasan massal yang memanfaatkan celah zero-day, eksploit lintas platform, dan ekosistem iklan digital sebagai senjata.

Sektor keamanan siber kini memasuki masa di mana keheningan pengguna bukan berarti keamanan, karena infeksi dapat terjadi tanpa klik, tanpa interaksi, dan tanpa indikasi apa pun.

Dengan meningkatnya penggunaan spyware komersial oleh berbagai negara, tantangan terbesar komunitas internasional bukan hanya menutup celah teknis, melainkan membangun mekanisme hukum dan etika global agar teknologi tidak menjadi alat penindasan.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait