Langsung ke konten utama
← BlogIntelijen Ancaman

Serangan Siber Berbasis AI di Indonesia 2026: Yang Perlu Diketahui Para CISO

Gambaran praktis tentang bagaimana AI digunakan untuk menyerang perusahaan Indonesia di 2026, dan kontrol spesifik yang perlu diterapkan.

M
Mohit Bhansali · Head of Technology
3 Mei 2026·10 menit

Apa yang sebenarnya berubah

Pada paruh pertama 2025, Lumma Stealer menginfeksi lebih dari 14.000 perangkat di seluruh Indonesia. Sebagian besar pemilik perangkat tidak pernah menyadarinya. Tidak ada permintaan tebusan, tidak ada layar hitam. Hanya sebuah proses kecil yang berjalan sekali lalu menghapus dirinya sendiri.

Yang ditinggalkannya: session token browser, kredensial email perusahaan, data login perbankan, cookie platform cloud, konfigurasi VPN. Semua yang dibutuhkan penyerang untuk masuk ke sistem perusahaan tanpa memicu satu pun peringatan kata sandi.

Inilah tampilan sebagian besar serangan modern. Bukan insiden dramatis yang menjadi berita utama. Hanya kredensial yang dikumpulkan diam-diam dalam skala besar, dan digunakan beberapa minggu kemudian ketika tidak ada yang memperhatikan.

Tujuannya tidak berubah. Penyerang masih menginginkan akses dan uang. Yang berubah adalah AI memungkinkan mereka menskalakan bagian yang membosankan, menemukan target, menulis umpan, menghindari deteksi, lebih cepat dan lebih murah dari tim manusia mana pun. Penyerang yang membutuhkan minggu dan sebuah tim untuk menjalankan kampanye tertarget terhadap perusahaan menengah Indonesia kini bisa melakukannya sendiri, dalam hitungan hari.

Itulah pergeseran yang perlu diperhitungkan para CISO.

Angka di balik perubahan ini

Data BSSN 2025 menunjukkan betapa cepatnya ini bergerak.

MetrikAngkaSumber
Serangan siber di Indonesia, Jan-Jul 20253,64 miliarBSSN 2025
Proporsi berbasis malware83,68%BSSN 2025
Peningkatan serangan ransomware (YoY)+50%BSSN 2025
Peningkatan kasus phishing (YoY)+70%BSSN 2025
Infeksi Lumma Stealer di Indonesia, H1 202514.000+ perangkatBSSN 2025
Pertumbuhan insiden penipuan kloning suara secara global (YoY)+680%Deepstrike 2025
Rata-rata kerugian per insiden deepfake fraudUSD 500.000+Brightside AI 2025

Volumenya memang signifikan, tapi bukan itu yang paling penting di sini. AI telah menurunkan ambang kemampuan yang dibutuhkan penyerang sekaligus meningkatkan apa yang bisa dicapai oleh satu orang. Itulah masalah yang sebenarnya.

Jendela antara penemuan dan eksploitasi semakin menyempit

Selama sebagian besar dekade terakhir, industri keamanan bekerja berdasarkan asumsi: ketika sebuah kerentanan dipublikasikan, para pembela punya waktu berminggu-minggu, terkadang berbulan-bulan, sebelum penyerang mempersenjatainya. Asumsi itu kini tidak berlaku lagi.

Analisis terhadap lebih dari 3.500 pasangan CVE-eksploitasi dari sumber intelijen ancaman terkemuka melacak seberapa cepat kerentanan yang dipublikasikan berubah menjadi serangan yang berfungsi. Trennya bukan bertahap. Ini adalah jurang.

Waktu dari Pengungkapan CVE ke Eksploitasi AktifRata-rata TTE dari 3.500+ pasangan CVE-eksploitasi (CISA KEV, VulnCheck KEV, XDB)Skala logaritmik1 day1 month1 year20182.3 years20191.9 years20201.3 years202118.8 months20229.7 months20234.9 months202456 days2026~20 hoursSource: zerodayclock.com · Sergej Epp (CISO, Sysdig) · CSA/SANS “AI Vulnerability Storm” (April 2026)

Akselerasi di tahun 2025 dan 2026 berkorelasi langsung dengan periode ketika analisis kerentanan berbantuan AI beralih dari eksperimental menjadi operasional. Seorang peneliti manusia yang terampil mungkin membutuhkan waktu berminggu-minggu untuk memahami kerentanan kompleks, menulis eksploitasi yang andal, dan mengujinya di berbagai konfigurasi. Sistem AI kini dapat melakukan pekerjaan yang sama dalam hitungan jam. Penelitian dari CSA dan SANS mengkonfirmasi bahwa agen AI sudah menemukan dan mengeksploitasi kerentanan dengan tingkat keberhasilan yang tidak realistis dua tahun lalu.

Pada 2018, seorang CISO yang mengetahui kerentanan kritis pada hari Senin masih punya waktu untuk memprioritaskan, menguji, dan menerapkan patch sebelum risiko eksploitasi serius muncul. Pada 2026, jendela itu mungkin sudah tertutup sebelum rapat pagi hari Senin selesai.

Bagi perusahaan Indonesia yang masih menjalankan siklus patch mingguan atau bulanan: Anda menerima celah yang kini dapat dieksploitasi secara andal oleh penyerang. Pertanyaannya bukan hanya "seberapa cepat kita bisa melakukan patch?" Tapi juga "apa yang kita miliki untuk jam-jam antara pengungkapan dan penerapan patch?"

Lima pola serangan yang menargetkan perusahaan Indonesia saat ini

1. Phishing berbasis AI: personal dan lolos dari filter

Phishing tradisional menggunakan template massal: pemberitahuan palsu OJK, email bank palsu, tautan reset kata sandi generik. Tim keamanan belajar mengenalinya. Karyawan belajar mencari tata bahasa yang buruk dan sapaan tidak personal.

Phishing berbasis AI telah menghilangkan kedua sinyal itu.

Model bahasa memungkinkan penyerang menulis email dalam Bahasa Indonesia yang bersih secara gramatikal dan menyebut nama penerima, jabatan, perusahaan, serta peristiwa terkini yang diambil dari LinkedIn dan situs web perusahaan. Hasilnya terbaca seperti pesan dari rekan kerja atau regulator sungguhan.

BSSN melaporkan peningkatan kasus phishing sebesar 70% di tahun 2025. Sebagian besar berasal dari konten yang dihasilkan AI yang melewati filter email berbasis tanda tangan, karena bahasanya terlalu spesifik kontekstualnya untuk cocok dengan aturan yang ditulis untuk serangan bertemplate.

Tema berisiko tertinggi bagi perusahaan Indonesia saat ini: pemberitahuan regulasi OJK, korespondensi pajak DJP, advisory keamanan BSSN, dan permintaan internal IT. Semua ini adalah kategori di mana karyawan terbiasa bertindak cepat, yang persis seperti yang diandalkan penyerang.

2. CEO fraud deepfake: kloning suara sudah ada

Business email compromise sudah ada selama bertahun-tahun. AI telah mengubah apa yang bisa dilakukannya.

Serangan kloning suara hanya membutuhkan tiga detik audio yang tersedia publik untuk menghasilkan suara sintetis dengan tingkat kecocokan 85% terhadap pembicara asli. Setiap eksekutif dengan video LinkedIn, rekaman konferensi, atau pidato yang dikutip sudah menyediakan bahan sumber yang cukup.

Polanya: penyerang menelepon anggota tim keuangan atau asisten CFO, memainkan versi kloning suara CEO. Instruksinya mendesak. Otorisasi transfer ini. Setujui pembayaran ini. Jangan tunggu prosedur biasa, saya sedang dalam rapat. Karena suaranya terdengar benar dan urgensinya terasa nyata, banyak orang mematuhinya.

Secara global, rata-rata kerugian per insiden deepfake fraud kini melampaui USD 500.000. Dalam kasus yang terdokumentasi di Hong Kong, video conference deepfake yang melibatkan tiruan CFO mengakibatkan transfer senilai USD 25 juta. Penipuan kloning suara meningkat 680% dalam setahun terakhir.

Setiap perusahaan dengan kehadiran publik digital untuk kepemimpinannya adalah target potensial. Pertahanannya bersifat prosedural, bukan teknis: kata sandi yang disepakati sebelumnya atau konfirmasi balik ke nomor yang sudah dikenal sebelum instruksi keuangan apa pun dijalankan di luar jalur normal.

3. Ransomware berbasis AI: lebih cepat dan lebih sulit dideteksi

Kelompok ransomware kini menggunakan AI dengan beberapa cara yang secara langsung mempengaruhi kecepatan serangan dan tingkat kesulitan deteksinya.

Pembuatan payload adaptif. Builder berbantuan AI menghasilkan varian ransomware unik per target. Antivirus berbasis tanda tangan tradisional melihat setiap versi sebagai file baru tanpa kecocokan sebelumnya di database mereka. BSSN melaporkan pertumbuhan 50% serangan ransomware di Indonesia, dengan proporsi yang tidak proporsional menyerang sektor yang masih mengandalkan proteksi endpoint berbasis tanda tangan: manufaktur, logistik, dan pemerintah daerah.

Propagasi otomatis. Setelah masuk ke jaringan, malware berbantuan AI mengidentifikasi target bernilai tinggi (domain controller, sistem backup, penyimpanan data keuangan) lebih cepat dari yang bisa dilakukan operator manusia mana pun. Waktu antara kompromi awal dan enkripsi jaringan penuh telah menyusut dari hari menjadi jam.

Living-off-the-land. Skrip serangan yang dihasilkan AI menggunakan alat yang sudah ada di lingkungan target (PowerShell, WMI, scheduled tasks) daripada memasukkan executable baru. Ini membuatnya hampir tidak terlihat oleh alat deteksi endpoint yang memindai perangkat lunak asing.

4. Malware infostealer: kredensial dalam skala besar

Lumma Stealer menginfeksi lebih dari 14.000 perangkat Indonesia hanya dalam paruh pertama 2025. Ini adalah satu contoh dari kategori yang lebih luas: malware infostealer yang ditingkatkan AI yang menargetkan kredensial browser, session token, dompet kripto, dan konfigurasi VPN perusahaan.

Komponen AI ada pada distribusi dan penghindaran, bukan payload itu sendiri. Lumma dan alat serupa menyebar melalui malvertising yang dihasilkan AI (iklan palsu yang menempati peringkat tinggi di hasil pencarian nyata melalui manipulasi SEO) dan paket perangkat lunak palsu di situs unduhan yang tampak sah.

Hasilnya secara praktis: seorang karyawan mencari alat perangkat lunak, mengunduh apa yang tampak seperti installer sah, dan dalam hitungan menit session token browser mereka untuk aplikasi perusahaan, termasuk email, sistem keuangan, dan platform cloud, telah dikirim ke penyerang. Tidak ada kata sandi yang dibutuhkan.

BSSN mencatat lebih dari 315.000 kredensial Indonesia dikompromikan hanya di H1 2024. Sebagian besar berasal dari kampanye infostealer, bukan intrusi jaringan langsung.

5. Pengintaian berbasis AI: penyerang sudah tahu stack Anda

Sebelum salah satu dari yang di atas dieksekusi, penyerang memetakan target. AI telah membuat pemetaan itu jauh lebih cepat.

Alat yang tersedia secara publik kini mengagregasi informasi dari LinkedIn, situs web perusahaan, lowongan kerja, GitHub, catatan DNS, log transparansi sertifikat, dan media sosial menjadi profil detail suatu organisasi: stack teknologinya, orang-orang kunci, vendor pihak ketiga, dan celah keamanan yang mungkin ada.

Lowongan kerja yang mencantumkan stack perangkat lunak Anda memberitahu penyerang kerentanan mana yang perlu diteliti. Profil LinkedIn yang menunjukkan karyawan baru mengidentifikasi seseorang yang mungkin belum mengetahui protokol keamanan organisasi. Commit GitHub dari pengembang internal dapat mengekspos kunci API atau detail konfigurasi yang membuka jalur langsung ke sistem produksi.

Permukaan serangan meluas melampaui perimeter teknis Anda. Keamanan informasi juga berarti kebersihan informasi.

Seperti apa pertahanan yang baik

Serangan-serangan ini dirancang untuk melampaui atau menghindari alat deteksi yang mengandalkan pola yang diketahui. Respons defensif harus setara.

Deteksi berbasis perilaku, bukan pencocokan tanda tangan. SIEM yang hanya memicu pada hash malware yang diketahui akan melewatkan setiap varian yang dihasilkan AI. Deteksi harus didasarkan pada perilaku: proses tak terduga, pola akses data yang tidak biasa, pergerakan lateral yang mengikuti TTP penyerang bahkan ketika alat spesifiknya tidak diketahui. Di sinilah UEBA membuktikan nilainya.

Threat hunting berbantuan AI. Perburuan proaktif yang menggunakan machine learning untuk menemukan anomali di seluruh volume log besar menemukan intrusi yang tidak pernah memicu satu pun peringatan secara terpisah. Kompromi infostealer khususnya cenderung terlihat seperti aktivitas pengguna normal hingga kredensialnya digunakan.

Verifikasi manusia untuk instruksi keuangan. Teknologi tidak bisa menghentikan CEO fraud deepfake jika proses Anda memperbolehkan otorisasi transfer hanya melalui suara. Kontrol ini bersifat prosedural: konfirmasi balik ke nomor yang dikenal, frasa kode yang disepakati sebelumnya, atau persyaratan bahwa instruksi apa pun di atas ambang tertentu melewati saluran terautentikasi yang terpisah.

Kebersihan informasi. Tinjau apa yang Anda ekspos secara publik. Audit GitHub untuk commit kredensial yang tidak disengaja. Periksa lowongan kerja Anda dan pertimbangkan apakah mereka mengiklankan seluruh stack teknologi Anda. Latih karyawan tentang phishing yang dihasilkan AI menggunakan contoh yang mencerminkan tema serangan Indonesia yang sebenarnya.

Latihan red team berbasis AI. Penetration test standar tidak mencerminkan apa yang sebenarnya bisa dilakukan aktor ancaman saat ini. Latihan red team yang menggabungkan phishing berbasis AI dan social engineering deepfake memberikan gambaran yang lebih akurat tentang eksposur nyata Anda.

Enam hal yang perlu dilakukan tahun ini

  1. Tanyakan kepada SOC Anda bagaimana deteksi bekerja. Berapa persen peringatan yang dipicu berdasarkan perilaku versus tanda tangan yang diketahui? Jika jawabannya condong ke tanda tangan, Anda memiliki celah.

  2. Buat prosedur verifikasi suara untuk transfer keuangan. Frasa tantangan yang disepakati sebelumnya. Konfirmasi balik yang wajib. Sesuatu yang bekerja bahkan ketika suara di telepon terdengar persis benar.

  3. Jalankan simulasi phishing berbasis AI kuartal ini. Gunakan email yang mereferensikan nama karyawan, jabatan, dan peristiwa perusahaan terkini yang nyata. Tingkat klik akan lebih tinggi dari simulasi terakhir Anda. Kesenjangan itulah yang menjadi risiko.

  4. Audit apa yang Anda ekspos secara publik. GitHub, lowongan kerja, LinkedIn, presentasi konferensi. Apa pun yang memetakan stack atau bagan organisasi Anda berguna bagi penyerang.

  5. Periksa apakah backup Anda dapat dijangkau dari produksi. Jika bisa, itu bukan backup. Itu bagian dari permukaan serangan.

  6. Tinjau kesiapan UU PDP Anda. Undang-undang perlindungan data Indonesia mewajibkan notifikasi pelanggaran dalam 14 hari. Timeline itu hanya bisa dipenuhi jika deteksi berjalan cepat. Kapan terakhir kali Anda menguji rencana respons insiden terhadap skenario ransomware?

Bagaimana Alpha Code dapat membantu

Alpha Code Technologies menjalankan Security Operations Center 24/7 di Jakarta, dengan deteksi yang dibangun berdasarkan lanskap ancaman Indonesia: pola phishing berbasis AI, malware pencuri kredensial yang aktif di kawasan ini, dan kelompok ransomware yang saat ini menargetkan infrastruktur Indonesia.

SOC-as-a-Service kami menggunakan deteksi berbasis perilaku dan UEBA untuk menangkap serangan yang dilewatkan alat berbasis tanda tangan. Program Manajemen Risiko SDM kami menjalankan simulasi phishing berbasis AI dalam Bahasa Indonesia, menggunakan tema penyerang terkini (peniruan OJK, umpan BCA/Mandiri, pemberitahuan pajak DJP) untuk mengukur dan menutup kesenjangan antara apa yang dikenali karyawan Anda dan apa yang sebenarnya akan mereka hadapi.

Jika Anda sedang meninjau postur keamanan untuk 2026, kami siap memulai dengan percakapan jujur tentang di mana celah-celahnya berada.

Sumber: BSSN via Tempo - 3,64 Miliar Serangan H1 2025 · ITGID - Ancaman Siber BSSN 2025 · Deepstrike - Statistik Deepfake 2025 · Brightside AI - CEO Fraud Deepfake · IBM Cost of a Data Breach 2024 · Zero Day Clock - Analisis TTE CVE-ke-Eksploitasi (Sergej Epp, Sysdig) · CSA/SANS - "The AI Vulnerability Storm: Building a Mythos-Ready Security Program" (April 2026)

On This Page
Apa yang sebenarnya berubahAngka di balik perubahan iniJendela antara penemuan dan eksploitasi semakin menyempitLima pola serangan yang menargetkan perusahaan Indonesia saat iniSeperti apa pertahanan yang baikEnam hal yang perlu dilakukan tahun iniBagaimana Alpha Code dapat membantu
Written By
M
Mohit Bhansali
Head of Technology

Mohit Bhansali leads technology and security practice at Alpha Code Technologies. With over a decade of experience in enterprise cybersecurity, he specialises in SOC operations, threat detection, and building security programs for Indonesian enterprises.

LinkedIn