Bagaimana Hacker Korea Utara Ubah Panggilan Zoom Deepfake Menjadi Aksi Pencurian Kripto

Aktor ancaman yang terhubung dengan Korea Utara sedang meningkatkan taktik rekayasa sosialnya. Grup ini mengintegrasikan umpan berbasis AI ke dalam serangan yang menargetkan aset kripto, menurut laporan baru dari tim Mandiant Google.

Operasi ini mencerminkan evolusi berkelanjutan dalam aktivitas siber yang terkait negara dan menargetkan sektor aset digital, yang mengalami peningkatan signifikan pada tahun 2025.

Panggilan Zoom Palsu Picu Serangan Malware pada Perusahaan Kripto

Dalam laporan terbarunya, Mandiant merinci hasil investigasi terhadap sebuah intrusi yang menargetkan perusahaan FinTech di sektor aset kripto. Serangan tersebut dikaitkan dengan UNC1069. Ini adalah grup ancaman bermotif keuangan yang aktif setidaknya sejak 2018, dan mempunyai kaitan dengan Korea Utara.

Menurut para penyelidik, intrusi ini bermula dari akun Telegram milik eksekutif industri kripto yang berhasil disusupi. Penyerang memanfaatkan akun tersebut untuk menghubungi korban. Mereka secara perlahan membangun kepercayaan sebelum akhirnya mengirim undangan Calendly untuk pertemuan video.

Tautan pertemuan mengarahkan korban ke domain Zoom palsu yang dihosting di infrastruktur milik aktor ancaman. Selama panggilan, korban mengaku melihat apa yang nampak seperti deepfake video seorang CEO dari perusahaan kripto lain.

Penyerang menciptakan kesan ada masalah audio dalam pertemuan tersebut untuk membenarkan langkah berikutnya. Mereka kemudian menginstruksikan korban untuk menjalankan perintah troubleshooting pada perangkatnya.

Perintah-perintah tersebut, yang sudah disesuaikan baik untuk sistem macOS maupun Windows, diam-diam memulai rantai infeksi. Hal ini akhirnya membuat beberapa komponen malware terpasang di perangkat korban.

Mandiant mengidentifikasi ada tujuh jenis keluarga malware berbeda yang terdeploy selama insiden tersebut. Alat-alat ini didesain untuk mencuri kredensial Keychain, mengekstrak cookie browser dan data login, mengakses informasi sesi Telegram, serta mengumpulkan berkas sensitif lainnya.

Para penyelidik menilai bahwa tujuan utamanya dua: memungkinkan pencurian aset kripto dan mengumpulkan data untuk mendukung serangan rekayasa sosial di masa depan.

Penyelidikan mengungkapkan bahwa ada jumlah alat yang sangat besar ditanam dalam satu perangkat. Ini menandakan upaya yang sangat terarah untuk mengumpulkan sebanyak mungkin data dari korban yang berhasil disusupi.

Kejadian ini adalah bagian dari pola yang lebih luas dan bukan kasus tunggal. Pada Desember 2025, BeInCrypto melaporkan bahwa aktor yang terhubung ke Korea Utara berhasil mengalirkan lebih dari US$300 juta dengan berpura-pura menjadi sosok terpercaya di industri selama pertemuan palsu di Zoom dan Microsoft Teams.

Skala aktivitas sepanjang tahun itu bahkan lebih mencengangkan lagi. Secara total, grup ancaman Korea Utara bertanggung jawab atas pencurian aset digital senilai US$2,02 miliar pada 2025, naik 51% dari tahun sebelumnya.

Chainalysis juga mengungkap bahwa klaster scam yang terkait on-chain dengan penyedia layanan AI terbukti jauh lebih efisien daripada yang tidak punya keterkaitan. Menurut perusahaan tersebut, tren ini mengisyaratkan bahwa AI bisa menjadi komponen standar pada sebagian besar operasi scam di masa depan.

Dengan alat AI yang semakin mudah diakses dan makin canggih, pembuatan deepfake yang meyakinkan jadi lebih gampang. Waktu mendatang akan menguji apakah sektor kripto mampu mengadaptasi keamanannya cukup cepat untuk menghadapi ancaman tingkat lanjut ini.