Investigasi Serangan Siber Bandara Eropa: Siapa yang Diuntungkan Saat Penerbangan Keos Total?

Investigasi Serangan Siber Bandara Eropa Siapa
yang Diuntungkan Saat Penerbangan Kaos Total

Laporan ini menyajikan analisis mendalam tentang lanskap keamanan siber Eropa, dengan menggunakan serangan terkoordinasi terhadap beberapa bandara utama di Eropa pada bulan September 2025 sebagai studi kasus sentral. Insiden ini, yang melumpuhkan operasi penerbangan selama berhari-hari, bukan merupakan peristiwa yang terisolasi, melainkan manifestasi nyata dari fase baru yang lebih berbahaya dalam keamanan siber Eropa. Analisis ini menunjukkan bahwa serangan tersebut mengeksploitasi kerentanan sistemik dalam rantai pasokan infrastruktur kritis, sebuah kelemahan yang diciptakan oleh ketergantungan pada penyedia teknologi pihak ketiga yang terpusat.

Lebih jauh lagi, insiden ini menyoroti tren yang mengkhawatirkan: meningkatnya penggunaan ruang siber sebagai arena konflik geopolitik. Konteks serangan—yang terjadi hanya beberapa hari setelah penyedia teknologi yang ditargetkan menandatangani kontrak pertahanan signifikan dengan NATO—dan spekulasi media yang meluas mengenai keterlibatan negara-bangsa menggarisbawahi bagaimana infrastruktur sipil kini dianggap sebagai target yang sah dalam perang hibrida. Laporan ini memetakan lanskap ancaman yang lebih luas, sebagaimana didefinisikan oleh Badan Keamanan Siber Uni Eropa (ENISA), yang didominasi oleh ransomware, serangan penolakan layanan (Denial-of-Service), dan spionase siber.

Analisis ini juga memprofilkan para pelaku ancaman utama, mulai dari kelompok peretas kriminal yang beroperasi dengan model Ransomware-as-a-Service (RaaS) hingga aktor yang disponsori negara dan kelompok hacktivist yang didorong oleh ideologi. Ditemukan bahwa batas-batas antara kelompok-kelompok ini semakin kabur, menciptakan ekosistem ancaman yang kompleks dan tangguh yang mempersulit atribusi dan respons. Laporan ini diakhiri dengan implikasi strategis dan rekomendasi yang dapat ditindaklanjuti untuk entitas sektor publik dan swasta di Uni Eropa, menekankan perlunya pergeseran dari keamanan berbasis perimeter ke ketahanan siber yang berfokus pada rantai pasokan, perencanaan kontingensi analog, dan arsitektur Zero Trust.

Anatomi Krisis - Gangguan Bandara Terkoordinasi September 2025

Serangan siber yang terjadi pada akhir September 2025 terhadap beberapa bandara utama di Eropa berfungsi sebagai studi kasus definitif tentang kerentanan infrastruktur kritis modern. Insiden ini tidak hanya menyebabkan gangguan operasional yang signifikan tetapi juga mengungkap ketergantungan mendalam pada sistem digital pihak ketiga yang terpusat, yang, ketika dikompromikan, dapat memicu kegagalan berjenjang di seluruh benua.

2.1 Insiden Terungkap: Kompromi Rantai Pasokan

Serangan siber dimulai pada malam hari Jumat, 19 September 2025.¹ Target utamanya bukanlah bandara secara langsung, melainkan penyedia teknologi penerbangan dan pertahanan yang berbasis di Amerika Serikat, Collins Aerospace, yang merupakan anak perusahaan dari kontraktor pertahanan besar RTX (sebelumnya dikenal sebagai Raytheon Technologies).² Ini menandai serangan tersebut sebagai serangan rantai pasokan klasik, di mana penyerang menargetkan pemasok yang tidak terlalu aman untuk mendapatkan akses ke jaringan kliennya yang lebih besar dan lebih penting.

Fokus spesifik dari serangan tersebut adalah perangkat lunak MUSE (Multi-User System Environment) milik Collins Aerospace.² Perangkat lunak ini adalah komponen infrastruktur penting yang digunakan oleh banyak maskapai penerbangan untuk berbagi sistem

check-in, boarding, dan penanganan bagasi. Platform ini sering kali diimplementasikan dalam lingkungan cloud atau hybrid-cloud, yang memungkinkan efisiensi operasional dengan memusatkan sumber daya TI untuk berbagai maskapai di satu bandara.² Keterpusatan inilah yang mengubah serangan yang ditargetkan menjadi krisis di seluruh Eropa.

Menanggapi insiden tersebut, Collins Aerospace dan perusahaan induknya, RTX, mengonfirmasi adanya "gangguan terkait siber" tetapi memberikan detail teknis yang terbatas. Pernyataan resmi mereka cenderung meremehkan tingkat keparahan insiden tersebut, dengan menyatakan bahwa dampaknya "terbatas pada check-in pelanggan elektronik dan penyerahan bagasi dan dapat dimitigasi dengan operasi check-in manual".⁵ Namun, dampak di lapangan menceritakan kisah yang sangat berbeda.

2.2 Kegagalan Operasional Berjenjang: Dari Gangguan Digital ke Kekacauan Fisik

Dampak dari kompromi perangkat lunak MUSE dirasakan hampir seketika di beberapa pusat penerbangan tersibuk di Eropa. Bandara-bandara yang paling parah terkena dampaknya adalah Bandara Heathrow London (LHR), Bandara Brussels (BRU), dan Bandara Brandenburg Berlin (BER).¹ Dampak yang lebih kecil juga dilaporkan di bandara Dublin dan Cork di Irlandia, yang menunjukkan jangkauan luas dari layanan Collins Aerospace.¹¹

Dengan sistem otomatis yang lumpuh, bandara-bandara yang terkena dampak terpaksa kembali ke prosedur manual sepenuhnya. Staf harus menulis tangan pas naik dan label bagasi, sebuah proses yang memakan waktu dan rentan terhadap kesalahan yang tidak dapat mengimbangi volume penumpang di pusat-pusat penerbangan besar.³ Akibatnya, antrean panjang mengular di seluruh terminal, dan waktu pemrosesan penumpang dilaporkan berlipat ganda atau bahkan tiga kali lipat.

Dampak operasionalnya sangat parah dan meluas. Bandara Brussels digambarkan sebagai yang "paling parah terkena dampak," dengan setidaknya 10 penerbangan dibatalkan dan 17 lainnya ditunda lebih dari satu jam pada Sabtu pagi saja.¹ Situasi di Brussels menjadi sangat kritis sehingga Eurocontrol, badan manajemen lalu lintas udara Eropa, mengeluarkan arahan yang belum pernah terjadi sebelumnya, meminta maskapai penerbangan untuk membatalkan setengah dari jadwal penerbangan mereka ke dan dari Brussels untuk mengurangi kepadatan dan kekacauan.¹ Di tiga bandara utama yang terkena dampak, setidaknya 29 keberangkatan dan kedatangan dibatalkan pada Sabtu sore.⁶ Gangguan tidak berakhir dalam satu hari; gangguan terus berlanjut selama akhir pekan, dengan Bandara Brussels masih meminta maskapai penerbangan untuk membatalkan penerbangan hingga hari Senin.¹⁷ Peristiwa ini dengan jelas mengubah risiko teoretis dari serangan siber menjadi kenyataan yang nyata dan mengganggu, di mana kegagalan digital secara langsung menyebabkan kelumpuhan fisik.

Garis Waktu (Tanggal/Waktu)	Entitas yang Terkena Dampak	Sifat Gangguan	Bandara yang Terkena Dampak	Dampak Operasional Utama	Status Atribusi Resmi
Jumat, 19 Sep 2025 (Malam)	Collins Aerospace (Anak Perusahaan RTX)	Serangan siber menargetkan perangkat lunak MUSE (Multi-User System Environment)	Heathrow (LHR), Brussels (BRU), Berlin (BER), Dublin (DUB), Cork (ORK)	Kelumpuhan sistem check-in, boarding, dan penanganan bagasi otomatis.	Tidak diatribusikan
Sabtu, 20 Sep 2025	Maskapai & Operasi Bandara	Peralihan paksa ke prosedur manual sepenuhnya.	Heathrow, Brussels, Berlin	Antrean panjang, waktu pemrosesan dua kali lipat, penulisan tangan pas naik & label bagasi.	Tidak diatribusikan
Sabtu, 20 Sep 2025	Lalu Lintas Udara Eropa	Pembatalan & penundaan penerbangan massal.	Brussels (paling parah), Heathrow, Berlin	Brussels: 10 penerbangan dibatalkan, 17 ditunda >1 jam. Eurocontrol meminta pembatalan 50% penerbangan BRU.	Tidak diatribusikan
Minggu, 21 Sep - Senin, 22 Sep 2025	Operasi Bandara	Gangguan berkelanjutan dan upaya pemulihan.	Brussels, Heathrow, Berlin	Brussels terus meminta pembatalan penerbangan hingga hari Senin.	Tidak diatribusikan

Tabel 1: Ringkasan Serangan Siber Bandara Eropa September 2025

2.3 Dilema Atribusi: Spekulasi Geopolitik vs. Realitas Forensik

Segera setelah serangan terjadi, muncul kesenjangan yang signifikan antara pernyataan resmi yang hati-hati dan narasi media yang berkembang pesat. Pernyataan dari Collins Aerospace, bandara yang terkena dampak, Komisi Eropa, dan Pusat Keamanan Siber Nasional Inggris (NCSC) secara seragam mengakui adanya insiden siber tetapi menahan diri untuk tidak memberikan atribusi kepada kelompok peretas atau negara-bangsa tertentu.⁴ Sikap ini mencerminkan praktik standar dalam investigasi siber, di mana atribusi yang akurat memerlukan analisis forensik yang cermat dan memakan waktu.

Namun, di ruang publik, narasi yang berbeda dengan cepat terbentuk, yang secara langsung mempertanyakan keterlibatan Rusia. Judul video YouTube dari Kompas.com secara eksplisit merangkum sentimen ini: "Serangan Siber Lumpuhkan Bandara di Eropa, Rusia Dalangnya?".²⁰ Meskipun konten video tersebut tidak dapat dianalisis secara rinci, judulnya sendiri merupakan data penting yang mencerminkan pembingkaian geopolitik langsung dari insiden tersebut.

Spekulasi ini didorong oleh dua faktor kontekstual utama. Pertama, serangan itu terjadi dalam iklim ketegangan geopolitik yang tinggi antara Rusia dan negara-negara Barat terkait perang di Ukraina, di mana serangan siber telah menjadi fitur yang terus-menerus.²³ Kedua, dan yang paling signifikan, adalah waktu serangan tersebut. Serangan itu terjadi hanya beberapa hari setelah Collins Aerospace mengumumkan telah mendapatkan kontrak penting dengan NATO untuk menyediakan perangkat lunak peperangan elektronik canggih, sebuah alat yang digambarkan sebagai "penting untuk memvisualisasikan ancaman peperangan elektronik".⁷ Kedekatan waktu antara pengumuman kontrak pertahanan tingkat tinggi dan serangan siber yang melumpuhkan terhadap sistem sipil perusahaan yang sama menciptakan narasi pembalasan yang kuat dan masuk akal.

Para ahli yang dikutip dalam berbagai laporan menekankan bahwa atribusi adalah proses forensik yang lambat dan bahwa spekulasi awal tidak dapat diandalkan.²⁰ Namun demikian, insiden tersebut menjadi studi kasus tentang bagaimana serangan siber di dunia yang saling terhubung secara geopolitik memiliki dampak ganda. Terlepas dari siapa yang pada akhirnya bertanggung jawab, konteks serangan dan spekulasi langsung tentang keterlibatan negara-bangsa itu sendiri melayani tujuan geopolitik. Ini berfungsi sebagai sinyal kuat tentang kerentanan, menciptakan ketidakpastian, dan menunjukkan bahwa infrastruktur sipil kritis, terutama yang terkait dengan kontraktor pertahanan, dianggap sebagai target yang dapat diperdebatkan dalam konflik yang sedang berlangsung antara Rusia dan negara-negara yang bersekutu dengan NATO.

Konteks Strategis - Lanskap Ancaman Eropa yang Berkembang

Serangan terhadap bandara-bandara Eropa tidak terjadi dalam ruang hampa. Peristiwa ini harus dipahami dalam konteks lanskap ancaman siber yang lebih luas dan berkembang pesat yang dihadapi Uni Eropa. Laporan dan arahan dari Badan Keamanan Siber Uni Eropa (ENISA) memberikan kerangka kerja penting untuk memetakan medan yang kompleks ini dan menempatkan insiden bandara sebagai validasi nyata dari peringatan strategis yang telah lama ada.

3.1 Ancaman Utama ENISA untuk 2024-2025

Laporan tahunan ENISA Threat Landscape (ETL) berfungsi sebagai dokumen dasar yang mengidentifikasi dan menganalisis ancaman siber paling signifikan yang dihadapi Uni Eropa. Laporan untuk tahun 2024 menyoroti delapan ancaman utama, dengan ransomware dan ancaman terhadap ketersediaan (threats against availability), seperti serangan Distributed Denial of Service (DDoS), menempati peringkat teratas dalam hal dampak dan frekuensi.²⁶ Ancaman penting lainnya yang dianalisis secara mendalam termasuk

malware, rekayasa sosial (social engineering)—seperti phishing—dan ancaman terhadap data (threats against data), yang mencakup pelanggaran dan kebocoran data.²⁶ Laporan-laporan ini tidak hanya bersifat akademis; laporan ini memberikan dasar berbasis bukti yang menginformasikan dan membentuk kebijakan keamanan siber di seluruh Uni Eropa.²⁸

Insiden bandara secara sempurna mewujudkan konvergensi dari beberapa ancaman utama ENISA ini. Pada intinya, serangan tersebut merupakan "Ancaman Terhadap Ketersediaan" dalam skala besar. Dengan melumpuhkan sistem check-in dan boarding, serangan tersebut secara efektif memberlakukan kelumpuhan fungsional yang setara dengan serangan DDoS besar-besaran, bukan terhadap server web, tetapi terhadap operasi fisik infrastruktur kritis.²⁶ Sementara serangan tersebut tidak secara publik dikonfirmasi sebagai

ransomware, dampak yang melumpuhkan dan gangguan yang meluas mencerminkan tujuan akhir dari banyak kampanye ransomware tingkat atas, yang semakin berfokus pada pemaksaan melalui gangguan operasional daripada sekadar enkripsi data.

3.2 Infrastruktur Kritis dalam Kewaspadaan Tinggi

ENISA secara eksplisit telah mengidentifikasi sektor transportasi sebagai target utama serangan siber, bersama dengan subsektor penerbangan, maritim, dan kereta api.³² Laporan menunjukkan bahwa serangan terhadap sektor ini hampir dua kali lipat, dengan

ransomware menjadi ancaman yang paling menonjol.³³ Ketergantungan infrastruktur kritis—termasuk jaringan listrik, sistem air, dan jaringan transportasi—pada sistem digital yang saling terhubung membuat mereka sangat rentan terhadap serangan yang mengganggu dengan konsekuensi dunia nyata yang berpotensi bencana.³⁰ Serangan bandara berfungsi sebagai validasi yang gamblang dan nyata dari peringatan-peringatan ini, menunjukkan bagaimana satu titik kegagalan dalam ekosistem digital dapat dengan cepat melumpuhkan arteri vital ekonomi Eropa.

Kesadaran akan kerentanan ini tidak terbatas pada laporan teknis. Wacana publik dan media, seperti yang tercermin dalam judul-judul video YouTube yang disediakan seperti "Perang di Ukraina: infrastruktur kritis Eropa dalam siaga tinggi untuk serangan siber Rusia" ³⁶ dan "Serangan siber: apakah Eropa siap untuk ancaman yang berkembang?" ³⁷, menggarisbawahi kesadaran publik yang meningkat tentang kerentanan ini. Judul-judul ini, meskipun konten videonya tidak dapat dianalisis, berfungsi sebagai titik data yang menunjukkan bahwa hubungan antara ketegangan geopolitik dan ancaman terhadap infrastruktur sipil telah tertanam kuat dalam kesadaran kolektif Eropa.

3.3 Respons Regulasi: Arahan NIS2

Lanskap ancaman yang meningkat ini tidak dibiarkan tanpa respons kebijakan. Pelaporan ENISA, termasuk laporan perdana "Keadaan Keamanan Siber di Uni Eropa," secara langsung diamanatkan oleh dan menginformasikan implementasi Arahan NIS2 (Network and Information Security 2).²⁸ Arahan penting ini merupakan upaya Uni Eropa untuk secara signifikan meningkatkan tingkat kematangan keamanan siber di seluruh negara anggota, dengan fokus khusus pada sektor-sektor kritis seperti transportasi.

Arahan NIS2 memberlakukan persyaratan keamanan dan pelaporan insiden yang lebih ketat pada rentang entitas yang jauh lebih luas daripada pendahulunya. Secara khusus, arahan ini menekankan pentingnya mengamankan rantai pasokan dan mengelola risiko yang ditimbulkan oleh pemasok pihak ketiga. Dalam konteks ini, serangan bandara Collins Aerospace menjadi kasus uji utama bagi efektivitas kerangka kerja NIS2. Serangan tersebut menyoroti dengan tepat jenis risiko rantai pasokan sistemik yang dirancang untuk dimitigasi oleh arahan tersebut. Akibat dari insiden ini kemungkinan akan melihat pengawasan ketat dari para pembuat kebijakan mengenai apakah langkah-langkah arahan tersebut, terutama yang berkaitan dengan keamanan pemasok, cukup kuat untuk mencegah kegagalan sistemik serupa di masa depan.²⁸

Gudang Senjata dan Musuh: Memprofilkan Pelaku dan Alat Ancaman Utama

Untuk memahami lanskap keamanan siber Eropa secara komprehensif, penting untuk menganalisis tidak hanya insiden-insiden itu sendiri tetapi juga para pelaku di baliknya dan alat-alat yang mereka gunakan. Ekosistem ancaman saat ini ditandai oleh beragam aktor dengan motivasi yang berbeda—mulai dari keuntungan finansial hingga tujuan geopolitik—dan gudang senjata malware yang terus berkembang.

4.1 Ekosistem Ransomware-as-a-Service (RaaS): Pasar yang Terfragmentasi dan Kompetitif

Periode 2024-2025 telah menyaksikan pergeseran signifikan dalam dunia ransomware. Tindakan penegakan hukum yang berhasil terhadap kelompok-kelompok besar seperti LockBit telah menyebabkan fragmentasi pasar, yang ironisnya menyebabkan lonjakan 40% dalam jumlah kelompok ransomware aktif yang lebih kecil dan lebih gesit yang bersaing untuk mendapatkan bagian.³⁸ Model

Ransomware-as-a-Service (RaaS), di mana pengembang menyewakan infrastruktur malware mereka kepada afiliasi untuk melakukan serangan, terus mendominasi.

• LockBit: Meskipun menghadapi tekanan penegakan hukum, LockBit tetap menjadi ancaman yang signifikan. Dikenal karena model RaaS-nya yang canggih, kelompok ini bertanggung jawab atas beberapa serangan berdampak tinggi, termasuk serangan yang mengganggu terhadap Royal Mail di Inggris.³⁹ Intelijen menunjukkan bahwa kelompok ini sedang berupaya untuk meluncurkan versi baru yang lebih tangguh, LockBit 4.0, yang menunjukkan ketahanannya dalam menghadapi upaya pembongkaran.³⁹

• RansomHub: Muncul pada tahun 2024 sebagai kekuatan dominan baru, RansomHub diyakini oleh beberapa analis sebagai penerus spiritual dari kelompok ALPHV/BlackCat yang terkenal. Ini beroperasi dengan model RaaS yang ketat, merekrut afiliasi untuk melakukan serangan bervolume tinggi secara global. Secara signifikan, kebijakan mereka melarang serangan terhadap negara-negara Persemakmuran Negara-Negara Merdeka (CIS), yang menunjukkan kemungkinan asal atau afiliasi dari Eropa Timur.³⁸

• Fog dan Lynx: Ini adalah contoh dari generasi baru kelompok ransomware yang mendapatkan ketenaran pada tahun 2024. Fog mengkhususkan diri dalam menargetkan sektor pendidikan AS dengan mengeksploitasi kredensial VPN yang dicuri dan menunjukkan tumpang tindih operasional dengan kelompok ransomware Akira. Lynx adalah kelompok pemerasan ganda yang produktif, yang telah mengklaim lebih dari 70 korban dan, seperti RansomHub, menyatakan kebijakan untuk menghindari target infrastruktur kritis seperti rumah sakit dan organisasi nirlaba.³⁸

Struktur RaaS ini secara fundamental mengubah ekonomi kejahatan siber. Ini menurunkan hambatan masuk, memungkinkan pelaku dengan keterampilan teknis yang lebih rendah untuk melancarkan serangan canggih. Selain itu, ini mengaburkan atribusi, karena afiliasi yang melakukan serangan sering kali terpisah dari pengembang inti malware.⁴¹

Nama Grup	Jenis	Afiliasi/Asal yang Diduga	TTP Utama (Taktik, Teknik, Prosedur)	Target/Kampanye Terkenal di Eropa
LockBit	Ransomware (RaaS)	Eropa Timur/Rusia	Eksploitasi RDP, phishing, pemerasan ganda, pengembangan varian baru (LockBit 4.0).	Serangan terhadap Royal Mail (Inggris).
RansomHub	Ransomware (RaaS)	Terkait dengan mantan afiliasi ALPHV/BlackCat.	Model afiliasi yang ketat, enkripsi cepat (Go & C++), menghindari target CIS.	Serangan bervolume tinggi di berbagai sektor di Eropa.
NoName057(16)	Hacktivist	Pro-Rusia	Serangan DDoS menggunakan botnet "DDoSia", insentif gamifikasi & kripto.	Lembaga pemerintah dan perbankan di negara-negara NATO (Swedia, Polandia).
GhostWriter	State-Sponsored	Rusia (GRU) / Belarusia	Spear-phishing, kampanye disinformasi, peniruan situs web pemerintah.	Target di Polandia, termasuk domain pemerintah dan akun media sosial.
RedDelta	State-Sponsored	Tiongkok	Spionase siber, penyebaran malware PlugX melalui dokumen umpan bertema politik.	Institusi pemerintah dan diplomatik di Eropa dan Asia.

Tabel 2: Profil Pelaku Ancaman Utama yang Aktif di Eropa (2024-2025)

4.2 Aktor Geopolitik: Operasi yang Disponsori Negara dan Hacktivist

Ruang siber Eropa juga merupakan medan pertempuran bagi aktor-aktor yang dimotivasi oleh geopolitik, bukan keuntungan finansial. Kelompok-kelompok ini sering kali beroperasi untuk mendukung tujuan negara-bangsa, baik secara langsung sebagai bagian dari aparat intelijen atau secara tidak langsung sebagai proksi yang dapat disangkal.

• Hacktivist Pro-Rusia:

  • NoName057(16): Kelompok ini telah menjadi salah satu kelompok hacktivist pro-Rusia yang paling menonjol dan gigih sejak invasi ke Ukraina pada tahun 2022. Mereka berspesialisasi dalam serangan DDoS yang mengganggu terhadap negara-negara NATO dan pendukung Ukraina lainnya.⁴² Operasi mereka difasilitasi oleh platform

    botnet sumber terbuka yang disebut "DDoSia." Secara signifikan, mereka menggunakan model rekrutmen yang terdesentralisasi, memberikan insentif kepada sukarelawan dengan hadiah mata uang kripto dan "gamifikasi," yang menciptakan pasukan penyerang yang termotivasi secara ideologis dan finansial.⁴² Penargetan mereka sering kali bersifat simbolis, bertepatan dengan peristiwa politik penting untuk memaksimalkan dampak psikologis.

• Spionase & Gangguan yang Disponsori Negara:

  • GhostWriter: Kelompok ancaman persisten tingkat lanjut (APT) ini telah dikaitkan oleh Uni Eropa dengan GRU, badan intelijen militer Rusia (sementara beberapa peneliti juga mencatat hubungan dengan Belarusia).⁴³ Tidak seperti serangan DDoS yang "berisik" dari NoName057, GhostWriter berspesialisasi dalam operasi yang lebih tersembunyi, seperti

    phishing dan kampanye disinformasi. Kampanye mereka baru-baru ini telah sangat menargetkan Polandia, sebuah negara kunci dalam mendukung Ukraina, dengan membuat situs web pemerintah palsu untuk mencuri kredensial dan menyebarkan narasi palsu.⁴³

  • RedDelta: Mewakili kepentingan negara-bangsa lain yang aktif di Eropa, RedDelta adalah kelompok spionase siber yang disponsori oleh negara Tiongkok.⁴⁴ Tujuannya adalah pengumpulan intelijen. Mereka menggunakan

    malware canggih bernama PlugX, yang dikirimkan melalui email spear-phishing yang dibuat dengan cermat. Umpan mereka sering kali berupa dokumen yang tampaknya sah yang berkaitan dengan peristiwa politik tingkat tinggi, seperti pertemuan ASEAN atau pemilihan umum Taiwan, untuk menipu target pemerintah dan diplomatik agar mengkompromikan sistem mereka.⁴⁴

Aktivitas kelompok-kelompok ini menunjukkan bagaimana batas-batas antara perang, spionase, dan aktivisme telah kabur di dunia maya. Serangan yang mengganggu dari seorang hacktivist dapat melayani tujuan strategis suatu negara sama efektifnya dengan operasi rahasia dari badan intelijen.

4.3 Perangkat Malware: Gudang Senjata yang Berkembang

Efektivitas para pelaku ancaman ini bergantung pada perangkat lunak berbahaya (malware) yang mereka gunakan. Lanskap ancaman 2025 didominasi oleh malware multifungsi yang canggih yang dirancang untuk pencurian data, kendali jarak jauh, dan penghindaran deteksi.

• Pencuri Informasi (Information Stealers):

  • Lumma: Aktif sejak 2022, Lumma adalah pencuri informasi yang kuat yang dirancang untuk menyedot berbagai data sensitif, termasuk kredensial login, informasi keuangan, dan kunci dompet mata uang kripto. Metode distribusinya beragam, mulai dari halaman CAPTCHA palsu hingga email phishing dan torrent ilegal, menjadikannya ancaman yang meresap.³⁹

• Trojan Akses Jarak Jauh (Remote Access Trojans - RATs):

  • XWorm, AsyncRAT, dan Remcos: Trio RAT ini mewakili ancaman signifikan karena mereka memberikan kendali penuh kepada penyerang atas sistem yang terinfeksi. Mereka dapat melakukan berbagai tindakan jahat, termasuk mencatat ketikan (keylogging), mencuri file, mengakses webcam dan mikrofon, dan yang terpenting, menonaktifkan perangkat lunak keamanan untuk mempertahankan keberadaan mereka.³⁹ Metode distribusi mereka sering kali melibatkan penyamaran sebagai perangkat lunak bajakan atau sah, mengeksploitasi kepercayaan pengguna untuk mendapatkan pijakan awal.

• Pola Serangan Teknis:

  • Setelah mendapatkan akses awal, penyerang sering mengikuti pola yang dapat diprediksi. Mereka menggunakan alat seperti Mimikatz untuk mengekstrak kredensial dari memori sistem dan alat administrasi sistem yang sah seperti PsExec untuk bergerak secara lateral di seluruh jaringan.⁴⁵ Dalam serangan

    ransomware, rantai serangan biasanya melibatkan penonaktifan layanan pemulihan, penghapusan cadangan dan salinan bayangan (shadow copies) untuk mencegah pemulihan, dan akhirnya, enkripsi file massal untuk melumpuhkan korban.⁴⁵

Nama Malware	Jenis	Vektor Distribusi Umum	Kemampuan Utama	Insiden/Kampanye Terkenal
Lumma	Pencuri Informasi	Halaman CAPTCHA palsu, torrent ilegal, phishing.	Pencurian kredensial, data keuangan, dompet kripto, riwayat penjelajahan.	Aktif di Dark Web, terus diperbarui untuk fungsionalitas baru.
XWorm	RAT	Serangan berskala besar menggunakan penyamaran (misalnya, terowongan CloudFlare).	Kendali jarak jauh, pencurian data, pemantauan (webcam, mikrofon, keylogging).	Digunakan dalam serangan yang memanfaatkan sertifikat digital yang sah untuk menghindari deteksi.
AsyncRAT	RAT	Email spam (umpan COVID-19), disamarkan sebagai perangkat lunak bajakan.	Perekaman layar, pencurian file, instalasi malware tambahan, penonaktifan perangkat lunak keamanan.	Berevolusi dengan fitur-fitur canggih, menggunakan skrip berbasis AI dalam serangan.
Remcos	RAT	Kampanye berbasis skrip (VBScript, PowerShell), eksploitasi kerentanan (misalnya, CVE-2017-11882).	Kendali jarak jauh, pencurian data, keylogging.	Dipasarkan secara legal tetapi sering disalahgunakan dalam aktivitas berbahaya.
LockBit	Ransomware	Berbagai vektor melalui afiliasi RaaS.	Enkripsi canggih, pemerasan ganda, penghindaran deteksi.	Serangan terhadap Royal Mail (Inggris) dan entitas besar lainnya secara global.

Tabel 3: Analisis Ancaman Malware Teratas untuk 2025

Implikasi Strategis dan Rekomendasi

Analisis terhadap serangan bandara September 2025 dan lanskap ancaman Eropa yang lebih luas mengungkapkan beberapa implikasi strategis yang mendalam. Insiden-insiden ini bukan sekadar tantangan teknis; mereka menandakan pergeseran fundamental dalam sifat konflik dan risiko terhadap masyarakat modern. Memahami implikasi ini sangat penting untuk mengembangkan strategi pertahanan yang efektif dan tangguh.

5.1 Medan Perang Baru: Konflik Geopolitik di Ruang Siber

Analisis ini dengan jelas menunjukkan bahwa ketegangan geopolitik, terutama konflik yang sedang berlangsung antara Rusia dan negara-negara Barat atas Ukraina, adalah pendorong utama aktivitas siber berbahaya di Eropa.²³ Operasi siber tidak lagi hanya menjadi pelengkap peperangan konvensional; mereka telah menjadi bentuk konflik tingkat rendah yang persisten yang menargetkan struktur ekonomi dan sosial negara-negara saingan. Dalam paradigma ini, infrastruktur kritis telah muncul sebagai garis depan utama. Serangan terhadap bandara, serta insiden yang menargetkan sektor energi dan kereta api, menunjukkan bahwa tujuan penyerang negara-bangsa dan proksi mereka adalah untuk menimbulkan gangguan sipil maksimum dan merusak kepercayaan publik terhadap institusi penting.²³

5.2 Risiko Sistemik dan Kerapuhan Keterhubungan

Pelajaran inti dari insiden Collins Aerospace adalah risiko sistemik yang sangat besar yang tertanam dalam rantai pasokan digital modern. Pengejaran efisiensi melalui sentralisasi dan ketergantungan pada vendor pihak ketiga telah menciptakan ketergantungan kritis dan titik kegagalan tunggal (single points of failure).² Kerentanan ini dapat dieksploitasi oleh musuh untuk mencapai dampak yang tidak proporsional. Satu pelanggaran yang berhasil terhadap satu vendor dapat memicu kegagalan berjenjang di seluruh benua, sebuah hasil yang akan jauh lebih sulit dicapai dengan menargetkan setiap entitas secara individual. Kerapuhan ini tidak terbatas pada penerbangan tetapi meluas ke semua sektor kritis yang bergantung pada perangkat lunak khusus dan layanan

cloud, mulai dari keuangan hingga perawatan kesehatan dan energi.

5.3 Rekomendasi untuk Membangun Ruang Siber Eropa yang Tangguh

Menanggapi lanskap ancaman yang berkembang ini, pendekatan proaktif dan berlapis sangat penting. Rekomendasi berikut ditujukan kepada operator infrastruktur kritis dan pembuat kebijakan di tingkat Uni Eropa dan nasional.

Untuk Operator Infrastruktur Kritis:

• Mewajibkan Audit Keamanan Rantai Pasokan: Organisasi harus beralih dari jaminan kontraktual semata ke pelaksanaan audit teknis yang ketat terhadap vendor pihak ketiga utama mereka. Ini harus mencakup pengujian penetrasi, tinjauan kode, dan penilaian arsitektur keamanan untuk memverifikasi bahwa pemasok memenuhi standar keamanan yang sama dengan organisasi itu sendiri.

• Mengembangkan dan Melatih Rencana Kontingensi Analog: Kekacauan di bandara-bandara yang terkena dampak menyoroti kegagalan untuk merencanakan hilangnya total sistem digital. Organisasi di semua sektor kritis harus mengembangkan prosedur cadangan manual/analog yang kuat dan, yang terpenting, secara teratur melatih dan mengujinya. Kemampuan untuk mempertahankan operasi inti tanpa ketergantungan digital adalah bentuk ketahanan tertinggi.

• Mengadopsi Arsitektur Zero Trust: Model keamanan tradisional yang berfokus pada perimeter tidak lagi memadai. Operator harus mengadopsi arsitektur Zero Trust, yang beroperasi dengan asumsi bahwa jaringan sudah dikompromikan. Ini melibatkan penerapan verifikasi identitas yang ketat untuk setiap pengguna dan perangkat, segmentasi mikro jaringan untuk membatasi pergerakan lateral, dan pemantauan berkelanjutan terhadap aktivitas jaringan. Pendekatan seperti itu dapat secara signifikan membatasi dampak pelanggaran seperti yang terjadi di Collins Aerospace, mencegah kompromi awal menyebar ke seluruh sistem.

Untuk Pembuat Kebijakan Uni Eropa dan Nasional:

• Memperkuat Penegakan NIS2 pada Rantai Pasokan: Serangan bandara harus digunakan sebagai studi kasus untuk mendorong standar keamanan siber yang spesifik, ketat, dan dapat ditegakkan bagi vendor yang melayani infrastruktur kritis. Kepatuhan terhadap standar-standar ini harus menjadi prasyarat untuk kontrak sektor publik.

• Meningkatkan Berbagi Intelijen Ancaman Publik-Swasta: Kolaborasi waktu nyata yang lebih dalam antara lembaga seperti ENISA, Tim Tanggap Insiden Keamanan Komputer (CERT) nasional, dan operator sektor swasta sangat penting. Ini akan mempercepat deteksi dan respons terhadap kampanye yang menargetkan kerentanan sistemik sebelum dapat dieksploitasi dalam skala besar.

• Mengembangkan Doktrin untuk Melawan Ancaman Hibrida: Pembuat kebijakan harus secara resmi mengakui batas-batas yang kabur antara pelaku kriminal, hacktivist, dan negara-bangsa. Kerangka kerja respons yang terkoordinasi harus dikembangkan yang menggabungkan penegakan hukum, diplomatik, ekonomi, dan tindakan teknis untuk menghalangi dan menanggapi spektrum penuh ancaman hibrida ini.