Peretasan Terkait Korea Utara dan Penggunaan Deepfake
Peretas yang terkait dengan Korea Utara terus memanfaatkan panggilan video langsung, termasuk deepfake yang dihasilkan oleh kecerdasan buatan (AI), untuk menipu pengembang dan pekerja di industri cryptocurrency agar menginstal perangkat lunak berbahaya di perangkat mereka. Dalam kasus terbaru yang diungkap oleh salah satu pendiri BTC Prague, Martin Kuchař, penyerang menggunakan akun Telegram yang telah dikompromikan dan panggilan video yang dipentaskan untuk menyebarkan malware yang disamarkan sebagai perbaikan audio Zoom.
Kuchař mengungkapkan bahwa kampanye peretasan “tingkat tinggi” ini tampaknya “menargetkan pengguna Bitcoin dan cryptocurrency” dalam sebuah unggahan di X pada hari Kamis.
Metode Penipuan Melalui Panggilan Video
Penyerang menghubungi korban dan mengatur panggilan melalui Zoom atau Teams. Selama panggilan, mereka menggunakan video yang dihasilkan oleh AI untuk berpura-pura menjadi seseorang yang dikenal oleh korban. Mereka kemudian mengklaim ada masalah audio dan meminta korban untuk menginstal plugin atau file untuk memperbaikinya. Setelah diinstal, malware tersebut memberikan akses penuh kepada penyerang ke sistem korban, memungkinkan mereka untuk mencuri Bitcoin, mengambil alih akun Telegram, dan menggunakan akun tersebut untuk menargetkan orang lain.
Statistik Penipuan Cryptocurrency
Insiden ini terjadi di tengah meningkatnya penipuan yang didorong oleh AI, yang menyebabkan kerugian terkait cryptocurrency mencapai rekor $17 miliar pada tahun 2025. Penyerang semakin sering menggunakan video deepfake, kloning suara, dan identitas palsu untuk menipu korban dan mendapatkan akses ke dana, menurut data dari perusahaan analitik blockchain, Chainalysis.
Kesamaan dengan Teknik Sebelumnya
Serangan ini, seperti yang dijelaskan oleh Kuchař, sangat mirip dengan teknik yang pertama kali didokumentasikan oleh perusahaan keamanan siber Huntress. Pada bulan Juli tahun lalu, Huntress melaporkan bahwa para penyerang menjebak seorang pekerja crypto dalam panggilan Zoom yang dipentaskan setelah kontak awal di Telegram, sering kali menggunakan tautan rapat palsu yang dihosting di domain Zoom yang dipalsukan.
Selama panggilan, para penyerang mengklaim ada masalah audio dan menginstruksikan korban untuk menginstal apa yang tampaknya sebagai perbaikan terkait Zoom, yang sebenarnya adalah AppleScript berbahaya yang memulai infeksi multi-tahap pada macOS.
Rantai Malware dan Ancaman Berkelanjutan
Penelitian tersebut menemukan bahwa rantai malware ini menginstal beberapa payload, termasuk pintu belakang yang persisten, alat pencatat kunci dan clipboard, serta pencuri dompet cryptocurrency. Ini mirip dengan yang diungkapkan Kuchař ketika ia melaporkan bahwa akun Telegram-nya telah dikompromikan dan kemudian digunakan untuk menargetkan orang lain dengan cara yang sama.
Peneliti keamanan di Huntress telah mengaitkan intrusi ini dengan ancaman berkelanjutan yang terkait dengan Korea Utara, yang dilacak sebagai TA444, juga dikenal sebagai BlueNoroff, dan beberapa alias lainnya yang beroperasi di bawah istilah payung Lazarus Group, sebuah kelompok yang didukung negara yang fokus pada pencurian cryptocurrency sejak setidaknya 2017.
Korelasinya dengan Kampanye yang Lebih Luas
Ketika ditanya tentang tujuan operasional dari kampanye ini dan apakah mereka berpikir ada korelasi, Shān Zhang, kepala petugas keamanan informasi di perusahaan keamanan blockchain Slowmist, mengatakan kepada Decrypt bahwa serangan terbaru terhadap Kuchař “mungkin” terkait dengan kampanye yang lebih luas dari Lazarus Group.
“Ada penggunaan ulang yang jelas di seluruh kampanye. Kami secara konsisten melihat penargetan dompet tertentu dan penggunaan skrip instalasi yang sangat mirip,” kata David Liberman, salah satu pencipta jaringan komputasi AI terdesentralisasi Gonka, kepada Decrypt.
Pentingnya Keaslian Konten Digital
Gambar dan video “tidak dapat lagi diperlakukan sebagai bukti keaslian yang dapat diandalkan,” kata Liberman, menambahkan bahwa konten digital “harus ditandatangani secara kriptografis oleh penciptanya, dan tanda tangan semacam itu harus memerlukan otorisasi multi-faktor.” Dalam konteks ini, narasi telah menjadi “sinyal penting untuk dilacak dan dideteksi” mengingat bagaimana serangan ini “bergantung pada pola sosial yang akrab,” katanya.
Grup Lazarus yang terkait dengan Korea Utara terus melancarkan kampanye melawan perusahaan crypto, pekerja, dan pengembang, menggunakan malware yang disesuaikan dan rekayasa sosial yang canggih untuk mencuri aset digital dan kredensial akses.
