Aset Kripto eyewash meningkat! Korea Utara Lazarus menggunakan AI deepfake Zoom mencuri ratusan juta dolar

Peretas kripto Korea Utara sedang menyempurnakan sebuah koin enkripsi yang umum digunakan dalam skema penipuan. Menurut laporan dari perusahaan keamanan digital Kaspersky, cabang dari organisasi kriminal paling menakutkan di Korea Utara, Lazarus Group, yaitu BlueNoroff APT, sedang menggunakan dua aktivitas baru bernama GhostCall dan GhostHire, yang memanfaatkan kecerdasan buatan dan panggilan video berulang untuk meningkatkan kredibilitas.

Grup Lazarus Korea Utara Berubah Dari Pencari Kerja Menjadi Pemburu

（sumber：X）

Hacker enkripsi Korea Utara telah menjadi ancaman global, tetapi strategi infiltrasi mereka telah mengalami perubahan signifikan. Para penjahat ini dulunya hanya melamar pekerjaan di perusahaan Web3, berusaha mencuri aset atau menanamkan pintu belakang dengan menjadi karyawan internal. Namun, baru-baru ini mereka mulai menggunakan pesan rekrutmen palsu untuk menyebarkan malware, beralih dari pencari kerja menjadi pemburu. Sekarang, rencana mereka semakin meluas, dan metodenya semakin sulit dikenali.

Lazarus Group adalah organisasi peretas yang didukung oleh pemerintah Korea Utara, yang dianggap sebagai pencuri Aset Kripto paling aktif dan paling sukses di dunia. Menurut perkiraan Perserikatan Bangsa-Bangsa dan perusahaan analisis blockchain Chainalysis, organisasi ini telah mencuri lebih dari 3 miliar dolar Aset Kripto sejak tahun 2017. Dana ini digunakan untuk mendanai program senjata nuklir dan rudal Korea Utara, menjadikannya sebagai ancaman keamanan internasional.

Dulu, metode Lazarus relatif kasar. Mereka akan mengirim banyak email phishing, disertai dokumen yang terinfeksi, berharap ada yang mengklik. Atau mereka akan menyamar sebagai pencari kerja di platform sosial profesional seperti LinkedIn, mencoba masuk ke dalam perusahaan Aset Kripto. Metode ini kadang-kadang berhasil, tetapi tingkat keberhasilannya tidak tinggi, karena banyak perusahaan telah membangun mekanisme pertahanan yang sesuai.

Namun, BlueNoroff APT sebagai cabang dari Lazarus Group yang secara khusus menargetkan lembaga keuangan dan perusahaan Aset Kripto, menunjukkan profesionalisme dan adaptabilitas yang lebih tinggi. Peneliti Kaspersky menemukan bahwa dua aktivitas, GhostCall dan GhostHire, berbagi infrastruktur manajemen yang sama, menunjukkan bahwa ini adalah rencana serangan multidimensi yang terkoordinasi dengan baik.

GhostCall dan GhostHire bekerja sama dalam eyewash Aset Kripto

GhostCall dan GhostHire mewakili tahap baru dalam penipuan aset kripto, keduanya menargetkan sasaran yang berbeda tetapi menggunakan teknik rekayasa sosial yang serupa.

GhostCall: Eyewash untuk investor tingkat tinggi Web3

Dalam GhostCall, peretas cryptocurrency Korea Utara ini menargetkan para pemimpin Web3 dengan menyamar sebagai investor potensial. Mereka akan mempelajari latar belakang target, situasi perusahaan, dan aktivitas terbaru, kemudian mengirimkan proposal investasi atau undangan kolaborasi yang sangat dipersonalisasi. Pesan-pesan ini biasanya mengklaim mewakili dana ventura terkemuka atau kantor keluarga, dan menyatakan minat untuk berinvestasi jutaan dolar.

Setelah target merespons, peretas akan mengatur konferensi video, biasanya mengklaim menggunakan Zoom atau Microsoft Teams. Namun, mereka akan mengirimkan tautan “versi terbaru” atau “versi aman” dari perangkat lunak konferensi, mengklaim bahwa ini untuk melindungi rahasia bisnis atau memenuhi persyaratan kepatuhan. Perangkat lunak ini sebenarnya adalah versi kloning yang disisipkan kode jahat.

GhostHire: jebakan rekrutmen untuk insinyur blockchain

Di sisi lain, GhostHire menarik insinyur blockchain dengan menawarkan peluang kerja yang menarik. Para penjahat siber berpura-pura menjadi perekrut dari perusahaan aset kripto terkenal atau proyek startup, menawarkan gaji dan insentif saham yang jauh di atas pasar. Untuk “menguji” keterampilan kandidat, mereka akan meminta untuk menyelesaikan tantangan pemrograman atau tugas teknis.

Tugas ini biasanya melibatkan pengunduhan repositori GitHub atau lingkungan pengembangan khusus. Namun, dokumen-dokumen ini mengandung perangkat lunak berbahaya yang, setelah dijalankan, akan menginfeksi sistem. Kaspersky menunjukkan bahwa para peretas ini telah mulai memperhatikan sistem operasi yang disukai oleh pengembang Aset Kripto, terutama macOS dan Linux, dan secara khusus mengembangkan varian perangkat lunak berbahaya.

Kedua jenis Aset Kripto eyewash ini memiliki satu kelemahan yang sama: korban harus benar-benar berinteraksi dengan perangkat lunak yang mencurigakan. Ini merusak tingkat keberhasilan penipuan sebelumnya, karena semakin banyak profesional yang memiliki kesadaran keamanan tinggi akan menolak untuk mengunduh perangkat lunak yang tidak jelas asal-usulnya. Namun, peretas dari Korea Utara ini menemukan cara baru untuk memanfaatkan kembali kesempatan yang hilang, yang merupakan kunci peningkatan ancaman saat ini.

AI deepfake technology menjadikan kegagalan sebagai senjata baru

Kolaborasi yang diperkuat antara GhostCall dan GhostHire memungkinkan peretas untuk meningkatkan teknik rekayasa sosial mereka, yang merupakan evolusi paling berbahaya dari penipuan aset kripto saat ini. Selain konten yang dihasilkan oleh AI, mereka juga dapat memanfaatkan akun pengusaha nyata yang telah diretas atau cuplikan video panggilan nyata untuk membuat penipuan mereka lebih kredibel.

Cara kerja spesifiknya adalah sebagai berikut: Ketika seorang eksekutif Aset Kripto memutuskan hubungan dengan perekrut atau investor yang mencurigakan, para peretas tidak akan menyerah begitu saja. Sebaliknya, mereka akan merekam seluruh proses interaksi, termasuk gambar dari panggilan video, klip suara, dan latar belakang. Bahkan jika penipuan ini gagal, materi ini akan menjadi senjata untuk menyerang korban berikutnya.

Dengan memanfaatkan kecerdasan buatan, peretas dapat mensintesis “percakapan” baru yang meniru nada, gestur, dan lingkungan sekitar manusia dengan tingkat realisme yang luar biasa. Contohnya:

Sintesis Video Deepfake: Hacker dapat menggunakan alat AI untuk menggabungkan 30 detik video nyata yang diperoleh dari kebohongan yang gagal menjadi sebuah “presentasi investasi” atau “wawancara teknis” selama 5 menit, di mana ekspresi wajah dan gerakan bibir korban disinkronkan dengan suara yang dipalsukan dengan sempurna.

Klon Suara: Bahkan dengan hanya beberapa detik sampel suara, alat AI modern dapat menghasilkan klon suara yang hampir tidak dapat dibedakan dari yang asli. Hacker dapat membuat “korban” “merekomendasikan” suatu peluang investasi atau proses perekrutan dalam penipuan baru.

Identitas Tumpang Tindih: Yang lebih rumit adalah, peretas akan menggabungkan berbagai materi dari penipuan yang gagal, menciptakan sebuah ekosistem palsu yang lengkap. Misalnya, mereka mungkin membuat “Investor A” menyebutkan “Pendiri B” dalam video, padahal keduanya adalah korban dari penipuan sebelumnya.

Seberapa berbahayanya, dapat dibayangkan. Seorang pendiri proyek Aset Kripto mungkin lolos dari satu serangan karena kewaspadaan tinggi, tetapi menemukan bahwa citranya digunakan untuk menipu pendiri lain atau investor beberapa minggu kemudian. Yang lebih buruk, konten deepfake ini mungkin menyebar di media sosial atau jaringan profesional, merusak reputasi korban.

Rantai Serangan Aktual dan Saran Pertahanan

Apa pun siapa targetnya, rantai serangan penipuan koin enkripsi yang sebenarnya mengikuti pola serupa:

Tahap Satu: Penelitian dan Kontak

Hacker meneliti target di LinkedIn, Twitter, dan forum Aset Kripto, mengumpulkan informasi pribadi dan profesional, kemudian mengirimkan pesan awal yang sangat dipersonalisasi.

Tahap Dua: Membangun Kepercayaan

Membangun hubungan kepercayaan melalui beberapa komunikasi dan panggilan video (mungkin menggunakan teknologi deepfake) agar target merasa lebih santai.

Tahap Tiga: Mengarahkan Unduh

Dengan alasan yang wajar (pengujian, kepatuhan, kerahasiaan) meminta target untuk mengunduh perangkat lunak atau dokumen tertentu.

Tahap Empat: Penetrasi Sistem

Setelah perangkat lunak berbahaya dijalankan, peretas mendapatkan akses sistem, mencuri kunci pribadi, frasa benih, atau langsung mentransfer aset.

Tahap Lima: Pengumpulan Materi

Bahkan jika serangan gagal, peretas akan mengumpulkan semua video, suara, dan informasi yang terlibat dalam proses interaksi untuk serangan di masa depan.

Langkah Pertahanan Kunci

Verifikasi identitas dengan ketat: Konfirmasi identitas pihak lain melalui beberapa saluran independen, jangan hanya mengandalkan satu cara kontak.

Tolak perangkat lunak non-standar: Tegaskan untuk menggunakan alat resmi yang diunduh seperti Zoom, Teams, dan tolak semua “versi khusus”.

Lingkungan Pengujian Terpisah: Jika Anda perlu menguji kode atau dokumen, gunakan mesin virtual atau lingkungan sandbox, jangan pernah menjalankannya di sistem utama.

Waspadai Taktik Tekanan Tinggi: Setiap situasi yang menciptakan rasa urgensi, meminta keputusan cepat, atau mengklaim “kesempatan ini hanya sekali” harus dicurigai dengan tinggi.

Dompet keras dan tanda tangan ganda: Pastikan kunci privat disimpan di dompet keras, aset penting dilindungi dengan tanda tangan ganda.

Meskipun skema penipuan aset kripto ini gagal, potensi kerusakannya tetap besar. Siapa pun yang terpapar dalam situasi yang tidak biasa atau di bawah tekanan tinggi harus tetap waspada dan tidak pernah mengunduh perangkat lunak yang tidak dikenal atau menerima permintaan yang tidak pantas. Evolusi berkelanjutan dari Grup Lazarus Korea Utara menunjukkan bahwa keamanan aset kripto bukan hanya masalah teknis, tetapi juga merupakan perang jangka panjang melawan penyerang tingkat negara.