Google ungkap spyware canggih mengancam, ada negara yang terlibat

Google Threat Intelligence Group (GTIG) | dok: @google

Google Threat Intelligence Group (GTIG) mengungkapkan dalam laporan resminya, bahwa Intellexa, vendor spyware komersial yang telah dikenai sanksi oleh Amerika Serikat (AS), masih aktif mengeksploitasi zero-day. Meski ada tekanan publik dan regulasi, Intellexa justru terus beradaptasi. Aktivitas terbaru menunjukkan operasinya semakin produktif dan canggih.

Perusahaan ini tercatat sebagai salah satu pelaku eksploitasi zero-day paling agresif terhadap peramban dan sistem operasi seluler. Dari sekitar 70 kerentanan zero-day yang didokumentasikan sejak 2021, Intellexa terkait dengan 15 di antaranya. Eksploitasi tersebut mencakup RCE, Sandbox Escape, hingga eskalasi hak istimewa dan mendapatkan dukungan dari pemerintahan negara tertentu.

"Menyadari betapa serius dan meluasnya aktivitas Intellexa, kami telah memutuskan untuk secara serentak mengirimkan peringatan serangan yang didukung pemerintah kepada semua akun target yang diketahui terkait dengan pelanggan Intellexa sejak tahun 2023. Upaya ini mencakup ratusan akun di berbagai negara, termasuk Pakistan, Kazakhstan, Angola, Mesir, Uzbekistan, Arab Saudi, dan Tajikistan, untuk memastikan bahwa individu yang berisiko diinformasikan tentang ancaman canggih ini," tulis Google dalam laporan resminya, seperti dilansir topik.id, Minggu (7/12/2025).

GTIG menyoroti bahwa Intellexa tak hanya mengembangkan eksploitasi sendiri, melainkan membeli tahapan eksploitasi dari kelompok eksternal. Salah satu bukti kuatnya adalah rantai eksploitasi iOS bernama “smack” yang sebelumnya digunakan terhadap target di Mesir. Eksploitasi ini dibangun dari framework JSKit, yang juga terlihat digunakan kelompok lain.

"Bermitra dengan rekan-rekan kami di CitizenLab pada tahun 2023, kami berhasil menangkap rantai eksploitasi zero-day iOS lengkap yang digunakan secara liar terhadap target di Mesir. Dikembangkan oleh Intellexa, rantai eksploitasi ini digunakan untuk menginstal spyware yang dikenal publik sebagai Predator secara diam-diam ke dalam suatu perangkat. Menurut metadata, Intellexa menyebut rantai eksploitasi ini secara internal sebagai smack," ungkap Google.

Eksploitasi untuk Chrome juga mengandalkan kerangka kerja khusus yang mengekspos objek TheHole di mesin V8. Intellexa telah memanfaatkan kerangka ini dalam banyak CVE, termasuk yang terbaru CVE-2025-6554 yang dieksploitasi di Arab Saudi. Google telah menambal seluruh kerentanan tersebut, namun siklus eksploitasi terus berulang.

Tahap lanjutan eksploitasi menunjukkan struktur teknis tinggi, termasuk modul “pembantu” dan “pengamat” yang mendeteksi aktivitas mencurigakan di perangkat korban. Modul ini dapat merekam VOIP, mengambil gambar kamera, hingga mengelabui notifikasi sistem. Fitur tersebut memastikan perangkat aman sebelum spyware Predator dipasang.

Selain tautan sekali pakai, Intellexa kini memanfaatkan iklan berbahaya untuk mem-fingerprint pengguna dan mengarahkan target ke server eksploitasi. Google bekerja sama dengan mitra platform iklan untuk menutup akun yang terkait dengan operasi ini. Pola ini menunjukkan evolusi baru dalam penyalahgunaan iklan digital.

"Mekanisme pengiriman utama untuk eksploitasi Intellexa tetap berupa tautan sekali pakai yang dikirim langsung ke target melalui aplikasi pengiriman pesan terenkripsi ujung ke ujung. Namun, kami juga mengamati taktik lain pada beberapa pelanggan—penggunaan iklan berbahaya di platform pihak ketiga untuk mem-fingerprint pengguna dan mengarahkan pengguna yang ditargetkan ke server pengiriman eksploitasi Intellexa," jelas Google.

Untuk merespons ancaman ini, Google mengirim peringatan kepada ratusan akun yang menjadi target Intellexa sejak 2023, termasuk di Pakistan, Kazakhstan, Mesir, dan Arab Saudi. GTIG juga menambahkan domain berbahaya ke Safe Browsing dan merilis indikator kompromi untuk membantu deteksi. Upaya kolektif ini diharapkan membatasi penyalahgunaan spyware global.