Peringatan Keamanan dari Google dan Mandiant
Tim keamanan Google yang bekerja sama dengan Mandiant telah mengeluarkan peringatan bahwa peretas dari Korea Utara sedang menggabungkan teknologi deepfake yang dihasilkan oleh kecerdasan buatan dalam pertemuan video palsu sebagai bagian dari serangan yang semakin canggih terhadap perusahaan-perusahaan di sektor cryptocurrency. Laporan ini dirilis pada hari Senin.
Intrusi dan Teknik yang Digunakan
Mandiant menyatakan bahwa mereka baru-baru ini menyelidiki sebuah intrusi di sebuah perusahaan fintech yang mereka kaitkan dengan UNC1069, atau “CryptoCore“, sebuah kelompok aktor ancaman yang memiliki hubungan kuat dengan Korea Utara. Serangan ini melibatkan penggunaan akun Telegram yang telah dikompromikan, pertemuan Zoom yang dipalsukan, serta teknik yang dikenal sebagai ClickFix untuk menipu korban agar menjalankan perintah berbahaya.
“Mandiant telah mengamati UNC1069 menggunakan teknik-teknik ini untuk menargetkan baik entitas korporat maupun individu dalam industri cryptocurrency, termasuk perusahaan perangkat lunak dan pengembangnya, serta perusahaan modal ventura dan karyawan atau eksekutif mereka,” ungkap laporan tersebut.
Peningkatan Pencurian Cryptocurrency
Peringatan ini muncul di tengah meningkatnya pencurian cryptocurrency oleh Korea Utara. Pada pertengahan Desember, perusahaan analitik blockchain Chainalysis melaporkan bahwa peretas Korea Utara mencuri $2,02 miliar dalam cryptocurrency pada tahun 2025, meningkat 51% dibandingkan tahun sebelumnya. Total pencurian yang dilakukan oleh aktor yang terkait dengan DPRK kini mencapai sekitar $6,75 miliar, meskipun jumlah serangan telah menurun.
Pergeseran dalam Metode Serangan
Temuan ini menyoroti pergeseran yang lebih luas dalam cara para penjahat siber yang terkait dengan negara beroperasi. Alih-alih mengandalkan kampanye phishing massal, CryptoCore dan kelompok serupa kini lebih fokus pada serangan yang sangat terarah, yang mengeksploitasi kepercayaan dalam interaksi digital sehari-hari, seperti undangan kalender dan panggilan video.
Menurut Mandiant, serangan dimulai ketika korban dihubungi melalui Telegram oleh seseorang yang tampaknya merupakan eksekutif cryptocurrency yang dikenal, namun akunnya telah dikompromikan. Setelah membangun hubungan, penyerang mengirimkan tautan Calendly untuk pertemuan 30 menit yang mengarahkan korban ke panggilan Zoom palsu yang dihosting di infrastruktur kelompok tersebut.
Penggunaan Deepfake dalam Serangan
Selama panggilan, korban melaporkan melihat apa yang tampaknya merupakan video deepfake dari seorang CEO cryptocurrency terkenal. Setelah pertemuan dimulai, para penyerang mengklaim ada masalah audio dan menginstruksikan korban untuk menjalankan perintah “pemecahan masalah”, yang merupakan teknik ClickFix yang pada akhirnya memicu infeksi malware.
Analisis forensik kemudian mengidentifikasi tujuh keluarga malware yang berbeda di sistem korban, yang digunakan dalam upaya yang jelas untuk mengumpulkan kredensial, data browser, dan token sesi untuk pencurian finansial dan peniruan di masa depan.
Peringatan dari Para Ahli
Fraser Edwards, salah satu pendiri dan CEO perusahaan identitas terdesentralisasi cheqd, mengatakan bahwa serangan ini mencerminkan pola yang sering dia lihat terhadap orang-orang yang pekerjaannya bergantung pada pertemuan jarak jauh dan koordinasi cepat. “Efektivitas pendekatan ini berasal dari seberapa sedikit yang terlihat tidak biasa,” kata Edwards.
“Pengirimnya dikenal. Format pertemuannya rutin. Tidak ada lampiran malware atau eksploitasi yang jelas. Kepercayaan dimanfaatkan sebelum pertahanan teknis memiliki kesempatan untuk campur tangan.”
Edwards menjelaskan bahwa video deepfake biasanya diperkenalkan pada titik eskalasi, seperti panggilan langsung, di mana melihat wajah yang dikenal dapat mengatasi keraguan yang ditimbulkan oleh permintaan yang tidak terduga atau masalah teknis. “Melihat apa yang tampaknya merupakan orang nyata di kamera sering kali cukup untuk mengatasi keraguan yang ditimbulkan oleh permintaan yang tidak terduga atau masalah teknis. Tujuannya bukan interaksi yang berkepanjangan, tetapi cukup realisme untuk menggerakkan korban ke langkah berikutnya,” ujarnya.
Dia menambahkan bahwa AI kini digunakan untuk mendukung peniruan di luar panggilan langsung. “Ini digunakan untuk menyusun pesan, memperbaiki nada suara, dan mencerminkan cara seseorang biasanya berkomunikasi dengan rekan kerja atau teman. Hal ini membuat pesan rutin lebih sulit untuk dipertanyakan dan mengurangi kemungkinan penerima berhenti cukup lama untuk memverifikasi interaksi,” jelasnya.
Risiko di Masa Depan
Edwards memperingatkan bahwa risiko akan meningkat seiring dengan diperkenalkannya agen AI ke dalam komunikasi dan pengambilan keputusan sehari-hari. “Agen dapat mengirim pesan, menjadwalkan panggilan, dan bertindak atas nama pengguna dengan kecepatan mesin. Jika sistem tersebut disalahgunakan atau dikompromikan, audio atau video deepfake dapat diterapkan secara otomatis, mengubah peniruan dari upaya manual menjadi proses yang dapat diskalakan,” katanya.
“Tidak realistis” untuk mengharapkan sebagian besar pengguna tahu cara mengenali deepfake, kata Edwards, menambahkan bahwa, “Jawabannya bukan meminta pengguna untuk lebih memperhatikan, tetapi membangun sistem yang melindungi mereka secara default. Itu berarti meningkatkan cara keaslian disinyalir dan diverifikasi, sehingga pengguna dapat dengan cepat memahami apakah konten itu nyata, sintetis, atau tidak terverifikasi tanpa bergantung pada insting, keakraban, atau penyelidikan manual.”
