Advanced Persistent Threat (APT): Pengertian, Cara Kerja, Contoh & Strategi Mitigasi

Sebagian besar serangan siber ingin hasilnya cepat, enkripsi file, transfer dana, atau curi data sebelum sistem keamanan merespon. Advanced Persistent Threat (APT) bekerja sebaliknya. Penyerang APT masuk diam-diam, berdiam di dalam jaringan selama berbulan-bulan, dan baru bertindak ketika semua informasi yang dibutuhkan sudah terkumpul.

Data dari Vectra menyebutkan, rata-rata waktu APT bertahan tanpa terdeteksi mencapai 95 hari. Dalam 95 hari itu, penyerang dapat memetakan seluruh jaringan, mengidentifikasi aset paling bernilai, mencuri data secara bertahap, dan keluar tanpa meninggalkan jejak yang mudah dilacak.

APT bukan ancaman biasa. APT adalah operasi terencana, didanai dengan baik, dan dieksekusi oleh aktor yang dalam banyak kasus, didukung oleh negara. Memahami cara kerja APT adalah langkah pertama untuk membangun pertahanan yang tepat.

Apa Itu Advanced Persistent Threat (APT)?

Advanced Persistent Threat (APT) adalah serangan siber jangka panjang yang dilakukan oleh aktor dengan sumber daya besar dan tujuan spesifik, biasanya spionase, pencurian data rahasia, atau sabotase infrastruktur kritis. Kata advanced merujuk pada teknik yang digunakan; kata persistent merujuk pada durasi operasi yang bisa berlangsung berbulan-bulan hingga bertahun-tahun.

APT berbeda dari serangan siber konvensional karena tiga hal utama:

• APT tidak bersifat oportunistik, targetnya dipilih dengan cermat.
• APT dirancang untuk tidak terdeteksi selama mungkin.
• Tujuan APT bukan hanya mencari keuntungan finansial dengan cepat, melainkan akses jangka panjang terhadap informasi atau sistem tertentu.

Karakteristik Utama Advanced Persistent Threat (APT)

• Advanced: menggunakan teknik mutakhir termasuk eksploitasi zero-day, custom malware, dan serangan supply chain yang tidak terdeteksi sistem keamanan konvensional.
• Persistent: mempertahankan akses jangka panjang ke jaringan target. Bahkan jika satu titik masuk ditutup, penyerang APT biasanya sudah menanamkan beberapa backdoor cadangan.
• Targeted: setiap operasi APT menarget organisasi atau individu spesifik, bukan menyerang secara massal. Target biasanya adalah pemerintah, militer, lembaga keuangan, perusahaan teknologi, atau infrastruktur kritis.
• State-sponsored: mayoritas kelompok APT aktif dikaitkan dengan program intelijen negara, China, Rusia, Korea Utara, dan Iran menjadi aktor paling aktif berdasarkan laporan publik 2025.

Bagaimana APT Bekerja?

Serangan APT mengikuti pola yang terstruktur dan berurutan, meskipun setiap operasi memiliki variasi taktis.

Mengapa Advanced Persistent Threat (APT) Sulit Terdeteksi?

Advanced Persistent Threat (APT) sulit terdeteksi bukan karena teknologinya selalu lebih canggih, melainkan karena penyerang APT memahami cara kerja sistem deteksi dan merancang operasi mereka untuk menghindarinya.

• Traffic blending: penyerang menyamarkan komunikasi command-and-control di dalam protokol jaringan yang normal seperti HTTPS atau DNS, sehingga tidak memicu peringatan berbasis anomali volume.
• Zero-day exploitation: penggunaan kerentanan yang belum diketahui publik memastikan tidak ada signature yang dapat mencocokkan serangan.
• Living off the land: penyerang menggunakan alat bawaan sistem operasi seperti PowerShell atau WMI yang terlihat sah, bukan malware kustom yang memicu deteksi.
• Low-and-slow movement: perpindahan lateral dilakukan perlahan selama berhari-hari atau berminggu-minggu, bukan dalam satu sesi yang terkonsentrasi yang akan memicu peringatan berbasis threshold.

5 Contoh Kasus Advanced Persistent Threat (APT) di Dunia Nyata

Lima kelompok APT berikut adalah yang paling aktif dan berdampak besar pada 2025, berdasarkan laporan CloudSEK (2026).

1. Salt Typhoon, Spionase Infrastruktur Telekomunikasi

Salt Typhoon adalah kelompok APT yang terafiliasi dengan pemerintah China dan berspesialisasi dalam infiltrasi jaringan telekomunikasi. Kelompok ini tidak menyerang pelanggan secara langsung, mereka menyusup ke infrastruktur operator telepon untuk mendapatkan akses ke komunikasi pemerintah dan korporat yang melewati jaringan tersebut.

Pada Februari 2025, Pusat Keamanan Siber Kanada mengonfirmasi kompromi tiga perangkat jaringan milik satu penyedia telekomunikasi Kanada, termasuk pencurian konfigurasi dan pembuatan tunnel untuk pemantauan traffic. Serangan ini dikaitkan langsung dengan aktivitas yang terhubung ke China.

2. Flax Typhoon, Botnet 260.000 Perangkat untuk Kedok Spionase

Flax Typhoon beroperasi dengan metode yang tidak lazim: kelompok ini membangun dan mengendalikan botnet besar dari router, perangkat IoT, dan peralatan kantor kecil yang telah dikompromi. Botnet ini digunakan sebagai infrastruktur perantara untuk menyembunyikan asal serangan.

Sebuah advisory bersama pemerintah Amerika Serikat melaporkan bahwa Flax Typhoon mengendalikan lebih dari 260.000 perangkat yang tersebar di seluruh dunia, termasuk lebih dari 385.000 perangkat unik AS yang teridentifikasi selama operasi pembersihan. Botnet ini aktif digunakan untuk mendukung operasi spionase siber.

3. APT28 / GRU Unit 26165, Spionase Militer dan Logistik

APT28, yang dikaitkan dengan Unit 26165 GRU (badan intelijen militer Rusia), aktif sejak setidaknya 2004. Pada 2025, targeting difokuskan pada penyedia logistik, layanan IT, dan organisasi yang mendukung aliran bantuan ke Ukraina.

Sebuah advisory bersama yang dipimpin AS menyatakan bahwa APT28 menarget puluhan entitas di sektor transportasi, logistik, dan teknologi. Otoritas menghubungkan kampanye ini dengan pengumpulan intelijen yang mendukung tujuan militer Rusia.

4. Lazarus Group, Pencurian Finansial Skala Miliar Dolar

Lazarus Group adalah kelompok APT yang dikaitkan dengan Korea Utara dan dikenal sebagai satu-satunya kelompok APT yang secara konsisten menarget aset kripto untuk menghasilkan pendanaan bagi program senjata negara.

Pada 2025, Lazarus Group mengeksekusi pencurian kripto terbesar yang pernah tercatat: peretasan Bybit senilai USD 1,5 miliar melalui satu kompromi rantai pasok (Vectra AI, 2025). Serangan ini dilakukan melalui rekayasa sosial terhadap karyawan mitra perusahaan, bukan serangan langsung ke infrastruktur Bybit.

5. Sandworm / APT44, Sabotase Infrastruktur Kritis

Sandworm, juga dilacak sebagai APT44, adalah kelompok GRU Rusia yang unik karena menggabungkan spionase dengan serangan destruktif. Tidak seperti kelompok APT lain yang menghindari kerusakan fisik, Sandworm secara aktif menargetkan sistem kontrol industri untuk mengganggu atau menghancurkan infrastruktur.

Target historis Sandworm mencakup jaringan listrik Ukraina, sistem kereta api Eropa, dan infrastruktur satelit. Serangan mereka terhadap jaringan listrik Ukraina pada 2015–2016 adalah serangan siber pertama yang berhasil memadamkan listrik bagi ratusan ribu warga sipil.

Perbedaan APT dengan Jenis Serangan Siber Lainnya

APT vs Serangan Malware

Malware konvensional dirancang untuk eksekusi cepat, seperti enkripsi file (ransomware), pencurian kredensial, atau penambangan kripto. Begitu tujuannya tercapai, malware biasanya tidak memerlukan kehadiran lebih lanjut.

APT menggunakan malware hanya sebagai satu alat dari banyak alat dalam skala yang lebih besar. Setelah akses awal didapat, APT sering beralih ke penggunaan tools bawaan sistem (living off the land) untuk menghindari deteksi. Tujuannya bukan eksekusi cepat, melainkan kehadiran jangka panjang yang tidak terdeteksi.

APT vs Serangan DDoS

Distributed Denial of Service (DDoS) adalah serangan yang bertujuan melumpuhkan layanan dengan membanjiri server target dengan traffic berlebihan. DDoS terlihat dengan segera, terasa langsung, dan dampaknya berakhir begitu serangan dihentikan.

APT berkebalikan sepenuhnya yaitu tak terlihat, tidak langsung terasa, dan dampaknya justru paling besar setelah berbulan-bulan beroperasi tanpa diketahui. Jika DDoS adalah serangan frontal, APT adalah operasi infiltrasi yang berlangsung dalam kesunyian.

APT vs Phishing

Phishing adalah taktik yang digunakan APT sebagai titik masuk awal, bukan sebagai keseluruhan serangan. Serangan phishing mandiri biasanya bermotif finansial jangka pendek, yaitu mencuri kredensial atau kartu pembayaran satu individu.

APT menggunakan spearphishing, phishing yang sangat terpersonalisasi dan ditargetkan ke individu tertentu, untuk masuk ke jaringan. Setelah masuk, operasi APT berlanjut jauh melampaui apa yang bisa dilakukan serangan phishing biasa, seperti lateral movement, privilege escalation, dan eksfiltrasi data selama berbulan-bulan.

Bagaimana Cara Mengidentifikasi APT di Perusahaan?

Tanda-Tanda Serangan APT

Tanda-tanda berikut tidak selalu mengindikasikan APT secara pasti, tetapi merupakan sinyal yang harus segera diinvestigasi oleh tim keamanan.

• Akses tidak biasa di luar jam kerja: login ke sistem sensitif pada tengah malam atau akhir pekan dari akun yang biasanya tidak aktif di waktu tersebut.
• Lateral movement: satu akun atau perangkat yang tiba-tiba mengakses puluhan sistem internal yang tidak berkaitan dalam satu sesi.
• Eksfiltrasi data bertahap: transfer data ke luar jaringan dalam volume kecil yang terjadi berulang kali selama beberapa minggu, menggunakan protokol normal seperti HTTPS atau DNS.
• Proses sistem yang tidak lazim: PowerShell atau tools administrasi sistem lain yang berjalan dari akun non-administrator atau di waktu yang tidak wajar.
• Perubahan konfigurasi yang tidak terotorisasi: modifikasi pada firewall rule, pengaturan akses, atau scheduled task yang tidak ada tiket perubahan resminya.

Teknologi yang Membantu Deteksi APT

Tidak ada satu teknologi tunggal yang cukup untuk mendeteksi APT. Kombinasi beberapa lapisan deteksi diperlukan karena APT dirancang untuk lolos dari masing-masing teknologi secara individual.

• NDR (Network Detection and Response): memantau seluruh lalu lintas jaringan termasuk east-west traffic dan mendeteksi anomali perilaku seperti lateral movement dan komunikasi command-and-control. NDR adalah lapisan paling efektif untuk mendeteksi APT yang sudah berada di dalam jaringan.
• EDR (Endpoint Detection and Response): mendeteksi aktivitas mencurigakan di level perangkat, proses yang tidak normal, eksekusi malware, dan privilege escalation.
• SIEM (Security Information and Event Management): mengumpulkan dan mengkorelasikan log dari seluruh sistem untuk mengidentifikasi pola serangan yang tersebar lintas banyak titik.
• XDR (Extended Detection and Response): mengintegrasikan NDR, EDR, dan data cloud dalam satu platform untuk visibilitas komprehensif dan respons terkoordinasi lintas domain.

Strategi Mitigasi dan Pertahanan Terhadap APT

Keamanan Perimeter vs Keamanan Internal

Firewall dan IDS/IPS melindungi perimeter jaringan, titik masuk dan keluar. Strategi ini sudah tidak cukup karena dua alasan. Pertama, APT masuk melalui jalur yang terlihat sah: akun karyawan yang dikompromis melalui phishing, vendor pihak ketiga, atau zero-day exploit yang belum dipatch. Kedua, setelah masuk, serangan APT bergerak secara lateral di dalam jaringan di mana firewall tidak bisa melihatnya.

Inilah peran kritis NDR: memantau apa yang terjadi di inside jaringan, bukan hanya di batasnya. NDR mendeteksi lateral movement, komunikasi command-and-control yang tersembunyi di dalam traffic terenkripsi, dan eksfiltrasi data bertahap, semua aktivitas yang terjadi setelah penyerang melewati perimeter.

Langkah-Langkah Praktis untuk Mengurangi Risiko APT

• Pelatihan keamanan berkala: spearphishing adalah vektor masuk paling umum untuk APT. Pelatihan simulasi phishing dan kesadaran keamanan dasar secara signifikan mengurangi probabilitas keberhasilan serangan awal.
• Segmentasi jaringan: membagi jaringan ke dalam zona-zona yang terisolasi membatasi kemampuan lateral movement penyerang APT. Bahkan jika satu segmen dikompromis, penyerang tidak bisa bergerak bebas ke seluruh jaringan.
• Prinsip least privilege: setiap akun hanya mendapat akses minimum yang diperlukan untuk tugasnya. Ini membatasi kerusakan yang bisa ditimbulkan jika satu akun dikompromis.
• Patch manajemen yang ketat: APT memanfaatkan kerentanan yang sudah diketahui (dan belum di-patch) sebagai titik masuk. Pembaruan sistem yang konsisten menutup sebagian besar vektor serangan yang tidak memerlukan zero-day.
• Layered security: implementasi NDR + EDR + SIEM sebagai lapisan yang saling melengkapi. Ancaman yang lolos dari satu lapisan terdeteksi oleh lapisan berikutnya.

Kesimpulan

Advanced Persistent Threat adalah ancaman yang memerlukan strategi pertahanan yang fundamentally berbeda dari keamanan siber konvensional. APT tidak bisa dihentikan hanya dengan firewall atau antivirus. APT memerlukan visibilitas menyeluruh ke seluruh jaringan, kemampuan deteksi anomali berbasis perilaku, dan respons yang cepat.

ENISA mencatat 4.875 insiden keamanan di Uni Eropa antara Juli 2024 dan Juni 2025, dengan aktor yang berafiliasi dengan negara semakin mengintensifkan kampanye spionase jangka panjang. APT bukan ancaman masa depan, APT adalah ancaman yang aktif beroperasi sekarang, dan banyak organisasi tidak menyadarinya.

Kombinasi NDR untuk deteksi jaringan mendalam, XDR untuk visibilitas lintas domain, EDR untuk perlindungan endpoint, dan program edukasi pengguna yang konsisten adalah fondasi pertahanan yang efektif terhadap APT.

Lindungi Data dan Perangkat Perusahaan Anda dari APT Bersama Weefer

Weefer adalah penyedia solusi keamanan IT di Indonesia yang menghadirkan teknologi NDR, XDR, dan layered security dari vendor-vendor terkemuka. Tim Weefer siap membantu organisasi Anda merancang arsitektur pertahanan yang tepat untuk menghadapi ancaman APT dan ancaman siber canggih lainnya. Konsultasikan kebutuhan keamanan jaringan Anda dengan Weefer sekarang, gratis, tanpa komitmen.