Tim Keamanan Google Peringatkan Kini Hacker Korut Gunakan AI untuk Curi Kripto

Cryptoharian – Tim keamanan Google melalui Mandiant memperingatkan bahwa peretas dari Korea Utara kini memanfaatkan deepfake berbasis AI dalam rapat video palsu untuk menipu target di industri kripto. Dalam laporan yang dirilis Senin (9/2/2026) Mandiant menyebut taktik ini menjadi bagian dari rangkaian serangan yang makin canggih, dengan mengandalkan rekayasa sosial dan kebiasaan kerja jarak jauh, bukan eksploit teknis yang mencolok.

Mandiant mengatakan pihaknya baru-baru ini menyelidiki pembobolan pada sebuah perusahaan fintech yang mereka kaitkan dengan UNC1069, juga dikenal sebagai CryptoCore, sebuah aktor ancaman yang dihubungkan dengan ‘tingkat keyakinan tinggi’ ke Korea Utara.

“Dalam kasus ini, penyerang memakai akun Telegram yang sudah dibajak, dan mengarahkan korban ke rapat zoom palsu. Pelaku kemudian menggunakan teknik ClickFix untuk mendorong korban menjalankan perintah berbahaya,” ungkap Mandiant.

Mandiant menjelaskan, tim penyelidik juga menemukan indikasi bahwa video AI digunakan selama rapat untuk meyakinkan korban, termasuk kemunculan sosok yang tampak seperti CEO kripto terkenal.

“UNC1069 menargetkan perusahaan dan individu di ekosistem kripto, mulai dari firma perangkat lunak dan para developernya, hingga perusahaan modal ventura beserta eksekutifnya,” ujarnya.

Laporan tersebut menyebut kelompok ini juga terkait penggunaan sejumlah keluarga malware baru, yang dipasang untuk mencuri dana kredensial, data browser dan token sesi.

Peringatan ini muncul saat kampanye pencurian kripto yang dikaitkan dengan Korea Utara terus membesar. Pada pertengahan Desember, Chainalysis melaporkan bahwa peretas Korea Utara mencuri US$ 2,02 miliar aset kripto sepanjang 2025, naik 51 persen dibanding tahun sebelumnya, sehingga total kumulatif yang dikaitkan dengan aktor DPRK mencapai sekitar US$ 6,75 miliar.

Salah satu yang menarik, yakni jumlah serangan disebut menurun, namun skala kerugiannya meningkat.

Baca Juga: Sam Bankman-Fried Mengajukan Permohonan Pengadilan Baru

Dalam kasus yang diteliti Mandiant, serangan bermula saat korban dihubungi lewat Telegram oleh pihak yang terlihat seperti eksekutif kripto yang dikenal, padahal akunnya sudah dikuasai penyerang. Setelah membangun kepercayaan, pelaku mengirim tautan Calendly untuk rapat 30 menit yang mengarah ke Zoom palsu di infrastruktur milik mereka sendiri.

Begitu rapat dimulai, penyerang mengaku ada masalah audio dan meminta korban menjalankan “perintah troubleshooting”. Instruksi itu menjadi pintu masuk ClickFix yang memicu infeksi, dan analisis forensik kemudian menemukan tujuh keluarga malware terpasang di sistem korban.

Fraser Edwards, yang merupakan co-founder dan CEO perusahaan identitas terdesentralisasi cheqd, menilai serangan ini efektif karena hampir tidak ada yang terlihat aneh di permukaan. Pengirim tampak familiar, format rapat terlihat normal, dan tidak ada lampiran malware yang mencurigakan.

“Kepercayaan dimanfaatkan terlebih dahulu sebelum pertahanan teknis sempat bereaksi. Deepfake sering dipakai pada ‘titik eskalasi’ seperti panggilan langsung, karena melihat wajah yang terasa dikenal kerap mengalahkan intuisi untuk curiga,” kata Edwards.

Menurutnya, AI juga kini dipakai untuk memperkuat peniruan di luar panggilan live, misalnya menyusun pesan, meniru gaya komunikasi dan menyesuaikan nada bicara agar terasa alami.

Ia memperingatkan resiko akan meningkat ketika AI agents makin umum digunakan untuk mengirim pesan dan menjadwalkan rapat atas nama pengguna, karena proses impersonasi bisa berubah dari kerja manual menjadi otomatis dan skalabel.

“Tidak realistis mengandalkan kemampuan pengguna untuk mendeteksi deepfake, karena yang dibutuhkan adalah sistem verifikasi keaslian yang bekerja ‘secara default’, sehingga pengguna bisa memahami apakah konten itu asli, sintetis atau belum terverifikasi tanpa bergantung pada insting,” pungkas Edwards.