🔐
Keamanan Digital
  • Mengenal Dunia Digital
    • Komponen Kerja Internet
      • Memahami dengan Ilustrasi
    • Resiko Berdaring
      • Mengelola Risiko
      • Pengaturan Akses Sensor
    • Bentuk-bentuk Serangan
  • Keamanan Digital
    • Bagaimana jejak digital dapat dimanfaatkan?
    • Kebersihan Digital
      • Mengenal & Mengamankan Gawai
        • Cara Menonaktifkan Install dari Sumber tidak dikenal (unknown sources)
      • Mengenal & Mengamankan Leptop
      • Menggunakan Aplikasi Alternatif
    • Manajemen Identitas
      • Siapa yang mematai kita?
        • Google
      • Mengatur Privasi
      • Memeriksa Keamanan Digital Anda dengan Alat-alat Privacy dan Security
    • Kelola Kata Sandi
      • Bitwarden
        • Membuat Akun dan Akses Bitwarden
      • KeePassXC/DX
    • Komunikasi Aman
      • Jenis-Jenis Malware
      • Berselancar Aman
        • Menggunakan Peramban yang Aman
        • Menambah Plugin atau Add-ons
          • Cara Mengatur Menjadi HTTPS
        • Menggunakan Mesin Pencarian yang Aman
      • Berkomunikasi Aman
        • Cara Kerja Internet
        • Catatan Berbagi
        • Membuat Jadwal Pertemuan
        • Surel Aman
        • Membagi Berkas Pekerjaan
        • Menggunakan VPN & TOR
        • Panduan Lengkap tentang VPN dan Tor
          • Aplikasi Penyedia VPN
        • Memeriksa Lampiran dan Tautan
          • Panduan Penggunaan VirusTotal.com
        • Melakukan Enkripsi
          • Tahap Pemasangan
            • Panduan Mengunduh dan Memasang VeraCrypt
            • Panduan Mengunduh dan Memasang AxCrypt
          • Tahapan Penggunaan
            • Panduan Menggunakan VeraCrypt
            • Panduan Menggunakan AxCrypt
            • Panduan Membuat Password pada File PDF
            • Panduan Membuat Password pada File/Folder menggunakan 7-Zip dan WinRAR
        • Aplikasi Percakapan
        • Aplikasi Panggilan Video
      • Cara Membuat Akun
        • Membuat Akun ProtonMail
        • Membuat Akun MEGA
        • Membuat Akun Wire
  • Keamanan di Lapangan
    • Keamanan Digital Saat Aksi
  • Penanganan Insiden
    • Mengecek Infeksi Virus dalam HP
    • Cara Periksa Infeksi Pegasus dengan MVT
  • Panduan-Panduan
    • Panduan Keamanan Data di Perangkat Android, Mac, dan Windows
    • Panduan SOP
      • Panduan Membuat SOP
        • Contoh SOP
        • SOP Kebijakan Akses Data
  • Istilah seputar Keamanan Digital
    • Proxy
    • DNS Resolver
    • VPN
    • TOR
    • Cookies
      • Cookies dan Cache
      • Bahaya Menyimpan Cookies Auto-login
    • Sniffing
  • degoogle
    • Googledoc
  • Alat Forensik
    • Panduan menggunakan PiRogue
      • Kemampuan utama PiRogue
      • Cara Memasang PiRogue OS
        • Membakar OS
        • Memasang PiRogue
  • Fitur Kemanan pada Hp
    • Oppo
  • Daftar Aplikasi Aman
    • Daftar Aplikasi Pencarian Aman
    • 10 Layanan Email Pribadi Terbaik
  • Penggunaan Spyware
    • Spyware Predator di Papua
      • Penjelasan tentang laporan "Active Lycantrox Infrastructure Illumination"
      • Laporan “Predator in the Wires” oleh Citizen Lab
    • Pegasus
      • Pegasus Spyware: Ancaman Digital Global terhadap Masyarakat Sipil
      • Penjabaran lebih detail mengenai proses deteksi Pegasus
      • Pencegahan dan Perlindungan Terhadap Pegasus
      • Platform dan Aplikasi yang Pernah Disusupi oleh Pegasus
      • Daftar Negara-negara yang Teridentifikasi Aktivitas Pegasus
    • IMSI Catcher
Powered by GitBook
On this page
  • 🧠 Latar Belakang
  • 🔍 Apa itu Lycantrox dan Karkadann?
  • 🕵️‍♂️ Tujuan Investigasi
  • 🧩 Temuan Teknis
  • 🌍 Target Negara & Konteks Politik
  • 📌 Indikator Kompromi (IoC)
  • 📚 Kesimpulan
  1. Penggunaan Spyware
  2. Spyware Predator di Papua

Penjelasan tentang laporan "Active Lycantrox Infrastructure Illumination"

Penjelasan tentang laporan "Active Lycantrox Infrastructure Illumination" oleh Sekoia.io:

PreviousSpyware Predator di PapuaNextLaporan “Predator in the Wires” oleh Citizen Lab

Last updated 5 days ago

🧠 Latar Belakang

Laporan ini merespons blogpost CitizenLab tentang penggunaan spyware Predator milik perusahaan Cytrox yang dipasang pada perangkat iPhone milik mantan anggota parlemen Mesir, Ahmed Eltantawy, lewat eksploitasi zero-day yang memanfaatkan celah di iOS versi 16.6.1 ke bawah.

Cytrox dan konsorsiumnya, Intellexa, dikenal sebagai bagian dari jaringan cyber mercenaries—penjual spyware kepada pemerintah untuk memata-matai jurnalis, aktivis, dan lawan politik.

🔍 Apa itu Lycantrox dan Karkadann?

  • Lycantrox: Nama intrusion set (grup/klaster serangan) untuk pelanggan Cytrox yang dilacak oleh Sekoia.

  • Karkadann: Nama intrusion set untuk pelanggan Candiru, vendor spyware lainnya.

  • Ada kemiripan infrastruktur antara pelanggan Cytrox dan Candiru yang menunjukkan pelanggan bersama atau pendekatan teknis yang sama.

🕵️‍♂️ Tujuan Investigasi

Sekoia.io mengungkap dan memetakan infrastruktur yang digunakan oleh kelompok Lycantrox untuk membantu komunitas keamanan siber dan calon korban.

🧩 Temuan Teknis

  • Infrastruktur Lycantrox memakai VPS (Virtual Private Servers) tersebar di berbagai Autonomous Systems (AS).

  • Ciri khas: VPS hanya buka port 22 (SSH) dan port 443 (HTTPS/Nginx).

  • Port 443 hanya merespon bila hostname benar, jika tidak, koneksi langsung diputus.

🔎 Heuristik yang digunakan:

  1. Mendeteksi VPS dengan port terbatas.

  2. Mengecek DNS records pasif untuk mengidentifikasi domain terkait.

  3. Melakukan pemeriksaan aktif:

    • Situs palsu selalu memberi respon HTTP 204 (meski muncul error 404).

    • Ini menjadi ciri khas untuk mengidentifikasi domain milik Lycantrox.

🌍 Target Negara & Konteks Politik

Negara
Target/Domain
Dugaan Tujuan

Madagaskar

emergence-mada[.]com, soutien-a-rajoelina[.]com

Mendukung kampanye presiden Rajoelina. Situs palsu, tapi tidak ditemukan skrip jahat.

Indonesia

suarajubi[.]net, suarajubi[.]com

Kemungkinan targeting media oposisi Papua (Jubi TV). Dugaan keterlibatan intelijen Indonesia.

Kazakhstan

Banyak domain media lokal

Negara dengan sejarah memakai spyware untuk memata-matai aktivis.

Angola

folha-9[.]com, cnn-portugal[.]com, dll

Domain typosquat media lokal dan entitas nasional. Dugaan keterlibatan pemerintah Angola.

📌 Indikator Kompromi (IoC)

Sekoia membagikan lebih dari 100 domain yang dikaitkan dengan infrastruktur Lycantrox, dibagi menjadi dua kategori:

  • Aktif & berisiko tinggi

  • Dormant (tidak aktif saat investigasi)

📥 Tools yang disarankan:

  • SPYGUARD – untuk monitoring lalu lintas jaringan secara real-time.

📚 Kesimpulan

  • Infrastruktur Lycantrox semakin kompleks dan tersembunyi, namun justru itu membuatnya bisa dibedakan secara heuristik.

  • Indikasi kuat bahwa spyware Predator digunakan secara global untuk pengawasan politik.

  • Sekoia mendorong komunitas untuk menggunakan indikator yang dibagikan guna melindungi diri dari pemantauan ilegal.

Sumber:

(Mobile Verification Toolkit) – untuk periksa log Android/iOS.

Sekoia.io Threat Detection & Research. “Active Lycantrox infrastructure illumination”

MVT
https://blog.sekoia.io/active-lycantrox-infrastructure-illumination/
Page cover image