Disruption Week: Bedah Teknis Operasi Takedown Infrastruktur Pig Butchering di Asia Tenggara
Terdapat scam center di Asia Tenggara dengan infrastruktur yang menyamai industri, dengan jalur-jalur yyang terpisah mulai dari pencucian uang, berlapis, dan tenaga kerja yang diseludupkan secara paksa untuk menjalankan social Engineering dalam scala masif. Ketika DOJ mengumumkan Disruption Week pada akhir Mei 2026.
Attack Surface: Infrastruktur Berlapis yang Selama Ini Sulit Dijangkau
Scam sompound beroperassi dengan separation of concern yang cukup ketat antara tier. Tier-1 Front-facing social Engineering layer, akun media sosial, email, dan platform messaging, yang dimana mnejadi titik kontk pertama ke korban dengan volume yang sangat masif, Dirsuption Week menginterupsi lebih dari 1,4 juta akun di layer ini. Lifecycle akun-akun ini relatif pendek; ketika diblokir, diganti. aksi ini bisa dijalankan selama platform tidak membatasi atau membuat deteksi prilaku pada platform mereka. Tier-2 Fraudulent investment platform UI yang dirancang untuk mensimulasikan return investment.
Korban deposit, lihat angka naik di dashboard, baru sadar platformnya palsu ketika coba withdraw, hal ini juga ramai pernah terjadi di beberapa platform yang di promosikan influencer yang juga ditahan oleh kepolisian Republik Indonesia. Platform ini di-host di infrastruktur yang terpisah dari akun Tier 1 biasanya colocation environment atau VPS yang berbeda negara. Disruption Week menargetkan decomissioning server dan colocation environment di layer ini.
Tier-3 Money movement layer Cryptocurrency sebagai medium transfer, ini yang paling menarik dari sisi forensik on-chain. DOJ berbagai informasi dengan sektor private, coinbase, TRM Labs yang kemudian membentuk lebih dari $3,8 juta. angka ini relatif kecil terhadap total volume ($5,8 miliaar kerugian terlaporkan di 2024), tapi dari sisi teknis ini merupakan voluntary freeze berbasis intelligence sharing, dan bukan bagian dari court order yang berarti kecepatan eksekusinya jauh lebih tinggi.
Information Sharing sebagai Exploit Primitive
Dari prespektif operasional, yang paling menarik di Disruption Week adalah mekanisme yang diguanakan. FBI, Scret Service dan HSI ecara lagnsung menyerahkan target intelligence yang berupa IP, akun, wallet address, hosting identifler ke tim teknis dari Apple, Google, Meta, Microsoft, Coinbae, TRM Labs, Zenlayer dan SpaceX. Kemudian masing-masing provider melakukan cross-referencing dengan data internal mereka dan mengambil tindakan secara voluntary berdasarkan terms of service violation, ini penting secara teknikal karena beberapa alsan:
1. Attribution gab ditutup dari dua sisi, penegak hukum punya ground truth dari investigasi tapi tidak punya akses ke platform internals. Provider punya behavioral data dan graph koneksi tapi tidak punya konteks kriminal. Ketika dua dataset ini digabungkan, cluster yang sebelumnya ambigu bisa diidentifikasi dengan confidence tinggi.
2. Action Velocity Berbeda dari Legal Proces Normal takedown via court order bisa memakan waktu berminggu-minggu atau berbulan-bulan. Voluntary action berbasis ToS bisa dieksekusi dalam hitungna jam. Untuk scammer yang operasinya bergantung pada window availability akun, disruption cepat punya impact yang berbeda dibanding yang lambat.
3. Cross-platform correlation bisa dijalankan satu scammer yang beroperasi di Meta, menggunakan layanan Google, dan meng-host platform di Zenlayer bisa diidentifikasi sebagai entitas tunggal ketika semua provider menggunakan identifier yang sama. Sebelumnya ini tidak terjadi karena tidak ada mekanisme berbagi antara provider dalam Event yang terfokus.
Pig Butchering State Mechine yang Sengaja Dirancang Lambat
Setiap fasse ada karena alasan yang disengajakan, phase trust building bisa berlangsung berminggu-minggu hingga berbulan-bulan karena target fraud yang efektif adalah orang yang cukup engaged untuk mentransfer jumlah besar.
Dari sisi detection: behavioral signature akun Tier 1 yang menjalankan pig butchering berbeda dari spam konvensional. Conversation onboarding-nya panjang, konsisten, dan tidak meminta uang di awal. Rate-based detection kurang efektif di sini volume per akun rendah, tapi conversion rate per akun ke financial loss sangat tinggi. Ini yang membuat pendekatan deteksi berbasis volume tidak cukup; perlu layer behavioral analysis yang lebih dalam.
Colocation dan Hosting Infrastructure sebagai Persistent Layer
Server yang menjalankan fake investment platform membutuhkan reliable uptime korban harus bisa login dan melihat portfolio mereka naik. Ini berarti scammer menggunakan hosting infrastructure yang lebih permanen dibanding akun Tier 1 yang sifatnya sementara. Zenlayer merupakan provider dengan PoP di Asia Pacific yang digunakan untuk deliver konten dengan latensi rendah ke kawasan tersebut. Ketika hosting infrastructure di-decommission, fake investment platform menjadi tidak accessible. Ini mematikan Tier 2 layer sementara Tier 1 sudah diblokir secara bersamaan.
Note:
"decomissioning ini tidak permanen kalau scammer tinggal pindah ke hosting provider lain. IMPACT nyata dari aksi ini adalah disruption temporal dan pengumpulan data TTP mereka untukk melakukan tracking ke depan, terutama pola pemilihan hosting dan rotasi infrastruktur."
On-Chain Forensics: $3,8 Juta dan Sisanya
Angka $3,8 juta yang dibekukan perlu dikontekstualisasikan, IC3 melaporkan $5,8 miliar kerugian di 2024 dari kategori ini, dan angka 2025 sudah naik ke $7,2 miliar. Artinya yang berhasil dibekukan adalah sebagian sangat kecil mayoritas fund sudah bergerak melalui layering yang cukup dalam sebelum intelligence bisa ddi deteksi.
TRM Labs merupakan blockchain analytic firm yang spesialisasinya adalah transaction graph analysis melacak alur fund melalui mixing, chain hop, dan Exchange. Coinbase sebagai Exchange punya keamampuan freeze ketika wallet yang diidentifikasi mencoba Chash out. Freeze yang terjadi di Disruption Week kemungkinan besar adalah intercept di titik cash-out atau di exchange layer sebelum fund keluar ke fiat. Ini choke point paling actionable karena scammer pada akhirnya harus konversi ke fiat untuk kebutuhan operasional.
Flow yang paling sulit diikuti secara forensik adalah yang menggunakan chain hop ke privacy coin kemudian kembali ke BTC atau ETH sebelum masuk exchange. Kalau Disruption Week berhasil freeze $3,8 juta. Yang paling permanen dari operasi ini bukan 1,4 juta akun yang diblokir. Yang permanen adalah dua hal: relationship antara provider dan penegak hukum yang sudah terbentuk, dan precedent bahwa voluntary action berbasis intelligence sharing bisa dieksekusi pada skala ini dalam window waktu yang sangat singkat. Keduanya jauh lebih sulit untuk di-counter dibanding takedown infrastruktur yang bisa di-rebuild dalam hitungan beberapa hari.
Baca Juga Tentang: Dampak-Negatif-DataBreach FBI-Warning Trojan-Bank
Benediktus Sava – Security Researcher
Sumber: Meta Justice-gov
