Aktor ancaman yang terhubung dengan Korea Utara sedang meningkatkan taktik rekayasa sosialnya. Grup ini mengintegrasikan umpan berbasis AI ke dalam serangan yang menargetkan aset kripto, menurut laporan baru dari tim Mandiant Google.
Operasi ini mencerminkan evolusi berkelanjutan dalam aktivitas siber yang terkait negara dan menargetkan sektor aset digital, yang mengalami peningkatan signifikan pada tahun 2025.
SponsoredPanggilan Zoom Palsu Picu Serangan Malware pada Perusahaan Kripto
Dalam laporan terbarunya, Mandiant merinci hasil investigasi terhadap sebuah intrusi yang menargetkan perusahaan FinTech di sektor aset kripto. Serangan tersebut dikaitkan dengan UNC1069. Ini adalah grup ancaman bermotif keuangan yang aktif setidaknya sejak 2018, dan mempunyai kaitan dengan Korea Utara.
“Mandiant telah mengamati aktor ancaman ini terus mengembangkan taktik, teknik, dan prosedur (TTP), alat, dan sasarannya. Setidaknya sejak 2023, grup ini beralih dari teknik spear-phishing dan sasaran di keuangan tradisional (TradFi) ke industri Web3, seperti exchange terpusat (CEX), pengembang perangkat lunak di institusi keuangan, perusahaan teknologi tinggi, dan individu di dana modal ventura,” terang laporan tersebut.
Menurut para penyelidik, intrusi ini bermula dari akun Telegram milik eksekutif industri kripto yang berhasil disusupi. Penyerang memanfaatkan akun tersebut untuk menghubungi korban. Mereka secara perlahan membangun kepercayaan sebelum akhirnya mengirim undangan Calendly untuk pertemuan video.
Tautan pertemuan mengarahkan korban ke domain Zoom palsu yang dihosting di infrastruktur milik aktor ancaman. Selama panggilan, korban mengaku melihat apa yang nampak seperti deepfake video seorang CEO dari perusahaan kripto lain.
“Walaupun Mandiant tidak berhasil memperoleh bukti forensik untuk memverifikasi penggunaan model AI pada kasus khusus ini, penipuan yang dilaporkan ini mirip dengan insiden yang sudah pernah dilaporkan sebelumnya dengan ciri-ciri serupa, di mana deepfake juga diduga digunakan,” tambah laporan tersebut.
Penyerang menciptakan kesan ada masalah audio dalam pertemuan tersebut untuk membenarkan langkah berikutnya. Mereka kemudian menginstruksikan korban untuk menjalankan perintah troubleshooting pada perangkatnya.
SponsoredPerintah-perintah tersebut, yang sudah disesuaikan baik untuk sistem macOS maupun Windows, diam-diam memulai rantai infeksi. Hal ini akhirnya membuat beberapa komponen malware terpasang di perangkat korban.
Mandiant mengidentifikasi ada tujuh jenis keluarga malware berbeda yang terdeploy selama insiden tersebut. Alat-alat ini didesain untuk mencuri kredensial Keychain, mengekstrak cookie browser dan data login, mengakses informasi sesi Telegram, serta mengumpulkan berkas sensitif lainnya.
Para penyelidik menilai bahwa tujuan utamanya dua: memungkinkan pencurian aset kripto dan mengumpulkan data untuk mendukung serangan rekayasa sosial di masa depan.
Penyelidikan mengungkapkan bahwa ada jumlah alat yang sangat besar ditanam dalam satu perangkat. Ini menandakan upaya yang sangat terarah untuk mengumpulkan sebanyak mungkin data dari korban yang berhasil disusupi.
Kejadian ini adalah bagian dari pola yang lebih luas dan bukan kasus tunggal. Pada Desember 2025, BeInCrypto melaporkan bahwa aktor yang terhubung ke Korea Utara berhasil mengalirkan lebih dari US$300 juta dengan berpura-pura menjadi sosok terpercaya di industri selama pertemuan palsu di Zoom dan Microsoft Teams.
Skala aktivitas sepanjang tahun itu bahkan lebih mencengangkan lagi. Secara total, grup ancaman Korea Utara bertanggung jawab atas pencurian aset digital senilai US$2,02 miliar pada 2025, naik 51% dari tahun sebelumnya.
Chainalysis juga mengungkap bahwa klaster scam yang terkait on-chain dengan penyedia layanan AI terbukti jauh lebih efisien daripada yang tidak punya keterkaitan. Menurut perusahaan tersebut, tren ini mengisyaratkan bahwa AI bisa menjadi komponen standar pada sebagian besar operasi scam di masa depan.
Dengan alat AI yang semakin mudah diakses dan makin canggih, pembuatan deepfake yang meyakinkan jadi lebih gampang. Waktu mendatang akan menguji apakah sektor kripto mampu mengadaptasi keamanannya cukup cepat untuk menghadapi ancaman tingkat lanjut ini.
