Bocah 15 Tahun Sudah Jadi Mafia Kelas Kakap, Ini Sosoknya

Jakarta, CNBC Indonesia - Salah satu geng mafia hacker kawakan yang membuat heboh tahun ini adalah 'Scattered LAPSUS$ Hunters' (SLSH). Kabarnya, geng ini terbentuk dari penggabungan tiga grup hacker, yakni 'Scattered Spider', 'LAPSUS$', dan 'ShinyHunters'.

Anggota geng ini berasal dari banyak saluran obrolan yang sama di Com, komunitas penjahat siber yang sebagian besar berbicara dengan bahasa Inggris dan beroperasi melalui lautan server Telegram dan Discord.

SLSH mendominasi pemberitaan sepanjang 2025 lantaran aksinya secara teratur mencuri data dan melakukan pemerasan massal secara publik terhadap puluhan perusahaan besar.

Pada Mei lalu, SLSH melancarkan kampanye peretasan dengan memanfaatkan mekanisme 'social engineering' untuk menjerat korban. Beberapa perusahaan terdampak peretasan besar-besaran tersebut adalah Toyota, FedEX, Disney/Hulu, dan UPS.

Di balik aksi peretasan canggih tersebut, SLSH ternyata dikendalikan oleh bocah berusia 15 tahun dengan moniker 'Rey'. Rey merupakan 'wajah' publik SLSH selama ini, meski tak jelas berapa orang yang berada di balik SLSH.

Awal pekan ini, Rey mengonfirmasi identitas aslinya dan setuju untuk diwawancara oleh blog keamanan siber KrebsOnSecurity. Blog yang dijalankan oleh Brian Krebs, wartawan investigasi keamanan siber yang pernah bekerja untuk The Washington Post dalam periode 1995-2009.

KrebsOnSecurity berhasil melacak Rey dan menghubungi sang ayah. Akhirnya, Rey sepakat untuk melakukan wawancara eksklusif setelah identitasnya terbongkar.

Sebagai konteks, SLSH biasanya menggunakan tool dari geng ransomware lain dalam melakukan penyerangan, termasuk dari ALPHV/BlackCat, Qilin, RansomHub, dan DragonForce. Namun, pada pekan lalu, SLSH mengumumkan tool ransomware-as-a-service (RaaS) buatan sendiri di channel Telegram mereka.

RaaS itu dinamai 'ShinySp1d3r'. Rey merupakan sosok yang bertanggung jawab dengan peluncuran ShynySp1d3r dan saat ini merupakan 1 dari 3 administrator utama channel Telegram SLSH.

Sebelumnya, Rey merupakan administrator situs kebocoran data Hellcat, yakni geng ransomware yang muncul pada akhir 2024 dan terlibat dalam penyerangan beberapa perusahaan termasuk Schneider Electric, Telefonica, dan Orange Romania.

Pada 2024, Rey juga sempat menjadi administrator di BreachForums, forum kejahatan siber asal Inggris yang domainnya sudah berkali-kali diblokir oleh FBI dan otoritas internasional.

Pada April 2025, Rey membagikan informasi terkait penggerebekan BreachForums oleh FBI melalui unggahan di X. Sepanjang tahun lalu, Rey beberapa kali melakukan kesalahan dalam operasi keamanan kritis, sehingga memberikan informasi terkait identitas dan lokasinya.

Kronologi Identitas Rey Terbongkar

Menurut firma intelijen siber 'Intel 471', Rey merupakan pengguna aktif dalam beberapa reinkarnasi BreachForums selama 2 tahun terakhir. Ia telah membagikan lebih dari 200 unggahan sejak Februari 2024 hingga Januari 2024.

Intel 471 mengatakan Rey sebelumnya menggunakan moniker 'Hikki-Chan' di BreachForums, ketika ia pertama kali diduga membagikan data curian dari Pusat Pencegahan dan Kontrol Bencana AS (CDC).

Hikki-Chan sempat membagikan akun Telegram miliknya dengan username @wristmug. Dalam akun tersebut, ia sempat membagikan tangkapan layar berisi ancaman dari hacker lain yang mengklaim telah membobolnya.

Tangkapan layar tersebut memang sudah diedit sebelum dibagikan, tetapi ada informasi email yang terpampang. Intel 471 mengatakan alamat email tersebut terdeteksi merupakan milik anggota BreachForums dengan username 'o5tdev'.

Saat mencari kata kunci itu di Google, tampak 'o5tdev' sebelumnya terlibat dalam aksi pembungkaman situs dengan pesan pro-Palestina. o5tdev diyakini merupakan bagian dari kelompok bernama 'Tim Cyb3r Drag0nz'.

Laporan SentinelOne pada 2023 lalu menggambarkan 'Tim Cyb3r Drag0nz' sebagai kelompok hacktivist dengan rekam jejak melancarkan serangan DDoS dan perusakan siber, serta terlibat dalam aktivitas kebocoran data.

"Tim Cyb3r Drag0nz mengklaim telah membocorkan data lebih dari satu juta warga negara Israel yang tersebar di berbagai kebocoran," lapor SentinelOne, dikutip dari KrebsOnSecurity.

"Hingga saat ini, kelompok tersebut telah merilis beberapa arsip .RAR yang diduga berisi informasi pribadi warga negara di seluruh Israel," SentilOne menuturkan.

Perusahaan intelijen siber Flashpoint menemukan bahwa pengguna Telegram 'o5tdev' aktif pada 2023 dan awal 2024. Akun itu mengunggah postingan dalam bahasa Arab di kanal-kanal anti-Israel seperti 'Ghost of Palestine'.

Bocah Berusia 15 Tahun

Flashpoint menunjukkan bahwa akun Telegram Rey (ID7047194296) aktif dalam channel bernama 'Jacuzzi' yang fokus pada kejahatan siber. Pengguna ini membagikan beberapa detail pribadi, misalnya mengatakan ayahnya adalah seorang pilot.

Pada 2024, Rey mengklaim sebagai sosok berusia 15 tahun dan memiliki keluarga di Irlandia. Secara spesifik, Rey disebut dalam beberapa obrolan Telegram. Ia dikatakan berketurunan Irlandia, bahkan sempat mengunggah nama tengah 'Ginty'.

Spycloud mengindeks ratusan kredensial yang dicuri dari cybero5dev@proton.me, dan detail tersebut menunjukkan bahwa komputer Rey adalah perangkat Microsoft Windows bersama yang berlokasi di Amman, Yordania.

Data kredensial yang dicuri dari Rey pada awal 2024 menunjukkan adanya beberapa pengguna PC yang terinfeksi, tetapi semuanya memiliki nama belakang yang sama, Khader, dan alamat di Amman, Yordania.

Data 'isi otomatis' yang dicuri dari PC keluarga Rey berisi entri untuk Zaid Khader (46 tahun) yang menyebutkan nama gadis ibunya adalah Ginty. Data pencuri informasi juga menunjukkan Zaid Khader sering mengakses situs web internal karyawan Royal Jordanian Airlines.

Identitas Rey Sebenarnya

Data pencuri informasi tersebut memperjelas bahwa nama lengkap Rey adalah Saif Al-Din Khader. Karena tidak berhasil menghubungi Saif secara langsung, KrebsOnSecurity mengirimkan email kepada ayahnya, Zaid.

Pesan tersebut meminta sang ayah untuk membalas melalui email, telepon, atau Signal, menjelaskan bahwa putranya tampaknya terlibat dalam konspirasi kejahatan siber yang serius.

Kurang dari 2 jam setelahnya, KrebsOnSecurity menerima pesan di Signal dari Saif. Ia mengatakan sang ayah mencurigai email tersebut merupakan penipuan dan meneruskan isinya kepada dirinya.

"Saya melihat email Anda. Sayangnya, saya rasa ayah tidak akan meresponsnya karena dia pikir ini adalah email scam," kata Saif yang kemudian mengatakan kepada KrebsOnSecurity bahwa ia akan memasuki usia 16 tahun pada bulan depan.

"Jadi, saya memutuskan berbicara langsung kepada Anda," kata Saif.

Saif menjelaskan bahwa ia sebenarnya ingin lepas dari SLSH. Saat ditanya kenapa terlibat dalam peluncuran ShinySp1d3r, Saif mengatakan ia tak bisa tiba-tiba keluar.

"Saya mencoba untuk membersihkan semua keterlibatan saya [di SLSH], lalu move on," ujarnya.

Ia juga mengatakan bahwa ShinySp1d3r hanyalah versi modifikasi dari ransomware Hellcat, hanya diperbarui dengan software AI.

"Pada dasarnya, saya sudah membagikan kode sumber ransomware Hellcat," kata Saif.

Saif mengklaim ia telah menghubungi akun Telegram 'Operation Endgame' secara sukarela. Operation Endgame merupakan nama kode untuk operasi penegakan hukum yang sedang berlangsung dan menargetkan layanan kejahatan siber, vendor, serta konsumennya.

"Saya sudah berkooperasi dengan penegak hukum. Sebenarnya saya sudah berbicara dengan mereka sejak Juni lalu. Saya menceritakan semuanya kepada mereka. Saya sudah tidak berbuat apa-apa, termasuk terlibat dalam pembobolan perusahaan, sejak September," ia menjelaskan.

Menurut Saif, cerita-cerita yang beredar tentang dirinya saat ini hanya akan membahayakan kerja sama yang telah ia lakukan dengan otoritas penegak hukum. Ia juga mengatakan tak tahu apakah otoritas Eropa dan AS sudah mengontak pemerintah Yordania tentang keterlibatannya dengan SLSH.

"Berita-berita yang ada akan menimbulkan banyak tekanan yang tidak diinginkan dan akan mempersulit keadaan jika saya mau bekerja sama," kata Saif.

"Saya tidak yakin apa yang akan terjadi. Mereka bilang sudah menghubungi beberapa negara terkait permintaan saya, tetapi sudah seminggu penuh dan saya tidak mendapat kabar terbaru dari mereka," ia menuturkan.

Saif membagikan tangkapan layar yang mengindikasikan ia mengontak otoritas Europol pada bulan lalu. Namun, ia tidak bisa menyebut nama orang yang dihubungi. Klaim ini juga tak bisa diverifikasi oleh KrebsOnSecurity.

"Saya tak begitu peduli. Saya hanya ingin move on dari semua ini, bahkan jika artinya saya harus menghabiskan waktu di penjara, atau apapun yang mereka katakan," Saif memungkasi.