Serangan DDoS Bertenaga AI: Evolusi Ancaman yang Tidak Bisa Lagi Dihadapi dengan Cara Lama

Ada angka yang seharusnya membuat siapapun yang mengelola infrastruktur berhenti sejenak: 31.4 Terabit per detik. Itulah puncak serangan DDoS yang diluncurkan botnet AISURU/Kimwolf pada Desember 2025 — rekor dunia yang memecahkan rekor sebelumnya, yang sendiri baru dipecahkan beberapa bulan sebelumnya.

Yang lebih mengkhawatirkan bukan angkanya. Yang mengkhawatirkan adalah dari mana traffic itu berasal: jutaan Android TV murah yang duduk di ruang tamu orang-orang biasa di seluruh dunia, sudah terinfeksi bahkan sebelum dibuka dari kardus.

Ini adalah wajah baru serangan DDoS — dan cara lama untuk menghadapinya tidak lagi bekerja.

Skala yang Sudah Berubah Total

Sebelum bicara teknik, pahami dulu konteks angkanya:

DDoS 47,1 juta serangan terjadi sepanjang 2025 — lebih dari satu serangan setiap dua detik, sepanjang tahun, tanpa henti. Radware melaporkan lonjakan network-layer DDoS sebesar 168% dan web DDoS sebesar 101% hanya dalam periode yang sama.

Dan ini bukan lagi soal hacker di basement menekan tombol. Ini adalah industri yang terorganisasi, dipacu AI, dan semakin terjangkau oleh siapapun yang punya sedikit uang dan niat buruk.

AISURU/Kimwolf: Ketika TV di Ruang Tamu Menjadi Senjata

Bagaimana Botnet Ini Bekerja

AISURU (juga dikenal sebagai Kimwolf) adalah salah satu botnet DDoS paling merusak yang pernah ada. Senjata utamanya bukan server canggih — melainkan Android TV off-brand yang dijual seharga ratusan ribu rupiah di marketplace.

Mekanisme infeksinya mengeksploitasi Android Debug Bridge (ADB) — antarmuka debugging yang sering dibiarkan terbuka pada perangkat murah. Lebih parah lagi: sebagian besar perangkat ini sudah datang dengan proxy SDK berbahaya yang tertanam sejak pabrik, menjadikan pengguna sebagai korban bahkan sebelum mereka menyalakan perangkatnya.

Kimwolf kemudian memindai jaringan proxy residensial ini, menginfeksi perangkat dalam hitungan menit, dan mengabsorpsi mereka ke dalam armada botnet yang terkoordinasi.

Kampanye “The Night Before Christmas”

Pada 19 Desember 2025, AISURU/Kimwolf melancarkan apa yang kemudian disebut Cloudflare sebagai “The Night Before Christmas” — serangkaian serangan singkat namun sangat intens yang memuncak pada 31.4 Tbps dengan durasi hanya 35 detik.

Angka rata-rata selama kampanye ini sendiri sudah mencengangkan:

• 3 miliar paket per detik (rata-rata)
• 4 Tbps (rata-rata per serangan)
• 54 juta HTTP request per detik (rata-rata)
• Puncak: 9 Bpps, 24 Tbps, 205 Mrps

Serangan ini juga menggunakan teknik DNS tingkat lanjut: Water Torture (query domain valid yang dipermutasi untuk membebani resolver rekursif) dan Random Prefix attacks (variasi query yang mencegah caching).

DoJ kemudian mendisrupsi infrastruktur botnet yang melibatkan 3 juta perangkat IoT terkait kampanye ini — tapi infrastruktur botnet bersifat resilient dan dapat dibangun ulang.

Taktik AI yang Mengubah Permainan

1. Polymorphic Attack Behavior

DDoS konvensional menggunakan pola tetap yang relatif mudah di-fingerprint dan diblokir. AI mengubah ini dengan mutasi pola serangan secara real-time berdasarkan respons sistem pertahanan target.

Jika rate-limiting target memblokir source IP tertentu, AI secara otomatis merotasi source. Jika behavioral analysis mendeteksi traffic abnormal, AI menyesuaikan kecepatan dan distribusi request. Sistem yang membutuhkan waktu 30 detik untuk belajar pola baru berhadapan dengan AI yang sudah berganti pola setiap 10 detik.

2. Pulse Attacks — Menyerang di Bawah Radar

Pulse attack adalah ledakan traffic intensitas sangat tinggi yang berlangsung hanya beberapa detik, diikuti jeda, lalu ledakan berikutnya. Siklus ini dirancang secara presisi untuk melewati threshold detection yang membutuhkan akumulasi data berkelanjutan sebelum memicu alert.

Efeknya: sistem target mengalami degradasi atau downtime berulang, tapi tidak pernah memicu alert volumetric yang seharusnya memicu respons mitigasi otomatis.

3. Carpet Bombing — Serangan Tersebar ke Seluruh Subnet

Alih-alih membanjiri satu IP address, carpet bombing mendistribusikan serangan ke seluruh subnet (/24 atau /16) — ratusan hingga ribuan IP target secara bersamaan.

Dari sudut pandang setiap IP individual, traffic yang masuk tidak cukup besar untuk memicu threshold. Tapi dari sudut pandang router upstream dan infrastruktur core jaringan, ini menciptakan beban yang melumpuhkan. Teknik ini sangat efektif melawan CDN dan cloud provider yang mengandalkan per-IP rate limiting.

4. Layer 7 yang Meniru Pengguna Nyata

Serangan Layer 7 (application layer) bertumbuh 74% YoY di Q2 2025 dan terus naik. AI membuat serangan ini jauh lebih berbahaya karena mampu:

• Meniru sesi pengguna legitimat lengkap dengan User-Agent, cookie, timing, dan behavior pattern
• Mengeksploitasi logika bisnis: memicu workflow kompleks seperti proses login, pencarian katalog, atau checkout yang secara individual tidak mencurigakan tapi secara kolektif menghabiskan resource backend
• Menargetkan endpoint API spesifik yang mahal secara komputasi, bukan halaman statis

87% perusahaan mengalami insiden keamanan terkait API di 2025. API adalah permukaan serangan nomor satu — dan AI tahu cara mengeksploitasinya lebih efisien dari manusia.

5. Ransom DDoS: Model Bisnis yang Dioptimasi AI

Aktor ancaman modern tidak sekadar meluncurkan DDoS untuk destruksi. Model Ransom DDoS — ancaman DDoS kecuali tebusan dibayar — semakin canggih karena AI membantu:

1. Menghitung biaya downtime target secara presisi berdasarkan data publik
2. Menetapkan jumlah tebusan tepat di bawah angka tersebut agar terasa “lebih ekonomis” bagi korban
3. Mengirim demonstrasi serangan singkat sebagai bukti kemampuan

Ini bukan lagi serangan opportunistik. Ini adalah model bisnis yang dioptimasi algoritma.

DDoS-as-a-Service: Ketika Siapapun Bisa Jadi Penyerang

Salah satu perkembangan paling mengkhawatirkan adalah demokratisasi DDoS. Keahlian teknis yang dulu dibutuhkan untuk melancarkan serangan berskala besar kini tidak lagi diperlukan.

GhostGPT adalah chatbot berbasis Telegram yang dijual dengan harga $50 per minggu. Tanpa guardrail etis apapun, pengguna bisa meminta bantuan untuk membuat malware, menulis exploit, atau melancarkan serangan — dengan prompt sesederhana kalimat biasa.

Platform DDoS-for-hire berbasis AI semakin banyak beroperasi di darkweb, menawarkan antarmuka yang lebih mirip SaaS enterprise daripada tool kriminal. Barrier masuk menurun drastis, volume penyerang potensial naik secara eksponensial.

Cara Bertahan: AI Lawan AI

Realitasnya sederhana tapi keras: sistem pertahanan yang bergerak di kecepatan manusia tidak bisa menghadapi serangan yang bergerak di kecepatan mesin. Mitigasi berbasis signature dan rate-limiting statis adalah senjata era lalu.

Strategi Mitigasi yang Relevan di 2026

Predictive Analytics dan Behavioral Baseline

Alih-alih menunggu serangan mencapai threshold untuk bereaksi, sistem pertahanan modern membangun model baseline traffic normal dan mendeteksi anomali sebelum eskalasi terjadi. Perubahan kecil dalam distribusi paket, timing, atau entropy source IP bisa menjadi sinyal awal serangan yang datang.

Autonomous Mitigation tanpa Campur Tangan Manusia

Serangan AI bergerak dalam hitungan detik. Sistem yang memerlukan analis manusia untuk menekan tombol mitigasi sudah kalah sebelum mulai. NETSCOUT Arbor, sebagai contoh, memproses lebih dari 700 Tbps traffic real-time dan menetralisir 80% serangan tanpa intervensi manusia.

BGP Blackholing dan Scrubbing Center

Untuk serangan volumetric berskala besar, Remote Triggered Black Hole (RTBH) melalui BGP memungkinkan traffic ke IP target dialihkan ke null route di upstream provider sebelum mencapai infrastruktur. Ini mengorbankan availability IP target tapi melindungi seluruh infrastruktur di sekitarnya.

Scrubbing center menyediakan lapisan yang lebih halus: traffic masuk dialihkan ke fasilitas khusus yang memisahkan paket legitim dari flood sebelum diteruskan ke destinasi.

Bot Management dengan Cryptographic Challenge

Untuk Layer 7, cryptographic challenge (seperti proof-of-work atau CAPTCHA adaptif) memaksa browser nyata menyelesaikan komputasi yang murah untuk manusia tapi mahal untuk botnet. Bot yang meniru manusia harus menghabiskan resource komputasi signifikan untuk setiap request, secara efektif membatasi throughput mereka.

Segmentasi dan Rate Limiting Berlapis

# Contoh rate limiting berlapis di Nginx untuk API endpoint
limit_req_zone $binary_remote_addr zone=api_user:10m rate=30r/m;
limit_req_zone $http_x_forwarded_for zone=api_proxy:10m rate=100r/m;
limit_req_zone $server_name zone=api_global:10m rate=10000r/m;

location /api/ {
    limit_req zone=api_user burst=10 nodelay;
    limit_req zone=api_proxy burst=50 nodelay;
    limit_req zone=api_global burst=500 nodelay;
    limit_req_status 429;
}

Kombinasi per-IP, per-subnet, dan global rate limiting membuat carpet bombing jauh lebih sulit berhasil.

Monitoring Distribusi Entropy

Tool seperti tcpdump dengan analisis distribusi port source dapat mengidentifikasi carpet bombing lebih cepat dari sistem alert konvensional:

# Pantau distribusi source IP untuk deteksi carpet bombing
tcpdump -nn 'dst net 203.0.113.0/24' | \
  awk '{print $3}' | \
  sort | uniq -c | sort -rn | head -20

Lonjakan mendadak dalam jumlah source IP unik dengan volume kecil per-IP adalah tanda khas carpet bombing.

Apa yang Harus Dilakukan Sekarang

Bagi tim keamanan yang mengelola infrastruktur di Indonesia, berikut prioritas tindakan berdasarkan dampak vs usaha:

Yang paling mendesak dan sering diabaikan: inventarisasi perangkat edge. Router, kamera IP, smart TV, dan IoT device yang terkoneksi ke jaringan korporat adalah kandidat botnet yang paling mudah dikompromisi. Jika tim Anda tidak tahu apa saja yang ada di jaringan, Anda tidak bisa melindunginya.

Garis Bawah

DDoS bertenaga AI bukan ancaman masa depan. Rekor 31.4 Tbps sudah terjadi. Botnet 3 juta perangkat sudah beroperasi. GhostGPT sudah dijual $50/minggu di Telegram.

Yang berubah bukan hanya skala — tapi karakter serangan itu sendiri. DDoS sekarang adaptif, terdistribusi, dan cukup cerdas untuk menghindari pertahanan statis yang pernah bekerja dengan baik.

Jawaban satu-satunya adalah membangun pertahanan yang sama adaptifnya: sistem yang belajar, yang bergerak cepat, dan yang tidak bergantung pada analis manusia untuk setiap keputusan mitigasi.

SiberInd menyajikan analisis ancaman siber mendalam untuk tim keamanan Indonesia. Pantau terus untuk update terbaru seputar DDoS, threat intelligence, dan strategi pertahanan praktis.