Google Memperingatkan Kampanye Malware Berbasis AI dari Korea Utara yang Menargetkan Crypto, DeFi

Singkatnya

• Aktor Korea Utara menargetkan industri kripto dengan serangan phishing menggunakan AI deepfake dan pertemuan Zoom palsu, peringatan dari Google.
• Lebih dari 2 miliar dolar dalam bentuk kripto dicuri oleh peretas DPRK pada tahun 2025.
• Para ahli memperingatkan bahwa identitas digital yang dipercaya semakin menjadi titik lemah.

Tim keamanan Google di Mandiant memperingatkan bahwa peretas Korea Utara menggabungkan deepfake yang dihasilkan oleh kecerdasan buatan ke dalam video palsu sebagai bagian dari serangan yang semakin canggih terhadap perusahaan kripto, menurut laporan yang dirilis Senin. Mandiant mengatakan mereka baru-baru ini menyelidiki sebuah intrusi di sebuah perusahaan fintech yang mereka kaitkan dengan UNC1069, atau “CryptoCore”, sebuah aktor ancaman yang dikaitkan dengan Korea Utara dengan tingkat kepercayaan tinggi. Serangan tersebut menggunakan akun Telegram yang telah diretas, pertemuan Zoom palsu, dan teknik ClickFix untuk menipu korban agar menjalankan perintah berbahaya. Penyelidik juga menemukan bukti bahwa video yang dihasilkan AI digunakan untuk menipu target selama pertemuan palsu tersebut.

Aktor Korea Utara UNC1069 menargetkan sektor kripto dengan rekayasa sosial berbasis AI, deepfakes, dan 7 keluarga malware baru.

Dapatkan detail tentang TTP dan alat mereka, serta IOC untuk mendeteksi dan memburu aktivitas yang dijelaskan dalam posting kami 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F

— Mandiant (bagian dari Google Cloud) (@Mandiant) 9 Februari 2026

“Mandiant telah mengamati UNC1069 menggunakan teknik ini untuk menargetkan entitas perusahaan maupun individu dalam industri cryptocurrency, termasuk perusahaan perangkat lunak dan pengembangnya, serta perusahaan modal ventura dan karyawan atau eksekutif mereka,” kata laporan tersebut. Kampanye pencurian kripto Korea Utara Peringatan ini muncul saat pencurian kripto oleh Korea Utara terus meningkat skala. Pada pertengahan Desember, perusahaan analitik blockchain Chainalysis mengatakan bahwa peretas Korea Utara mencuri 2,02 miliar dolar dalam bentuk kripto pada tahun 2025, meningkat 51% dari tahun sebelumnya. Jumlah total yang dicuri oleh aktor yang terkait DPRK kini sekitar 6,75 miliar dolar, meskipun jumlah serangan menurun. Temuan ini menyoroti pergeseran yang lebih luas dalam cara para penjahat siber yang terkait negara beroperasi. Alih-alih mengandalkan kampanye phishing massal, CryptoCore dan kelompok serupa fokus pada serangan yang sangat disesuaikan yang memanfaatkan kepercayaan dalam interaksi digital rutin, seperti undangan kalender dan panggilan video. Dengan cara ini, Korea Utara mencapai pencurian yang lebih besar melalui insiden yang lebih sedikit dan lebih terfokus. Menurut Mandiant, serangan dimulai ketika korban dihubungi melalui Telegram oleh seseorang yang tampaknya adalah eksekutif kripto terkenal yang akunnya telah diretas. Setelah membangun hubungan, pelaku mengirim tautan Calendly untuk pertemuan 30 menit yang mengarahkan korban ke panggilan Zoom palsu yang dihosting di infrastruktur kelompok tersebut. Selama panggilan, korban melaporkan melihat apa yang tampaknya adalah video deepfake dari CEO kripto terkenal. Setelah pertemuan dimulai, pelaku mengklaim ada masalah audio dan menginstruksikan korban menjalankan perintah “pemecahan masalah”, sebuah teknik ClickFix yang akhirnya memicu infeksi malware. Analisis forensik kemudian mengidentifikasi tujuh keluarga malware berbeda di sistem korban, yang digunakan dalam upaya untuk mengumpulkan kredensial, data browser, dan token sesi untuk pencurian finansial dan impersonasi di masa depan.

Impersonasi Deepfake Fraser Edwards, pendiri dan CEO perusahaan identitas terdesentralisasi cheqd, mengatakan serangan ini mencerminkan pola yang dia lihat berulang kali terhadap orang-orang yang pekerjaannya bergantung pada pertemuan jarak jauh dan koordinasi cepat. “Keefektifan pendekatan ini berasal dari seberapa sedikit yang harus terlihat tidak biasa,” kata Edwards. “Pengirimnya dikenal. Format pertemuan adalah rutinitas. Tidak ada lampiran malware atau eksploitasi yang jelas. Kepercayaan dimanfaatkan sebelum pertahanan teknis sempat berintervensi.” Edwards mengatakan video deepfake biasanya diperkenalkan pada titik eskalasi, seperti panggilan langsung, di mana melihat wajah yang dikenal dapat mengatasi keraguan yang dibuat oleh permintaan tak terduga atau masalah teknis. “Melihat orang yang tampaknya nyata di kamera sering cukup untuk mengatasi keraguan yang timbul dari permintaan tak terduga atau masalah teknis. Tujuannya bukan untuk interaksi yang berkepanjangan, tetapi cukup realistis untuk mendorong korban ke langkah berikutnya,” katanya. Dia menambahkan bahwa AI kini digunakan untuk mendukung impersonasi di luar panggilan langsung. “AI digunakan untuk menyusun pesan, memperbaiki nada suara, dan mencerminkan cara seseorang berkomunikasi dengan kolega atau teman. Itu membuat pesan rutin lebih sulit dipertanyakan dan mengurangi kemungkinan penerima berhenti sejenak untuk memverifikasi interaksi,” jelasnya. Edwards memperingatkan bahwa risiko akan meningkat seiring diperkenalkannya agen AI dalam komunikasi dan pengambilan keputusan sehari-hari. “Agen dapat mengirim pesan, menjadwalkan panggilan, dan bertindak atas nama pengguna dengan kecepatan mesin. Jika sistem tersebut disalahgunakan atau diretas, audio atau video deepfake dapat digunakan secara otomatis, mengubah impersonasi dari usaha manual menjadi proses yang dapat diskalakan,” katanya. Dia mengatakan bahwa “tidak realistis” mengharapkan sebagian besar pengguna tahu cara mengenali deepfake, dan menambahkan, “Jawabannya bukan meminta pengguna untuk lebih memperhatikan, tetapi membangun sistem yang melindungi mereka secara default. Itu berarti meningkatkan cara menandai dan memverifikasi keaslian, sehingga pengguna dapat dengan cepat memahami apakah konten itu nyata, sintetis, atau belum diverifikasi tanpa bergantung pada naluri, keakraban, atau penyelidikan manual.”