Tim Riset dan Analisis Global Kaspersky (GReAT) baru-baru ini mengungkap aktivitas terbaru dari aktor ancaman persisten lanjutan (APT) BlueNoroff. BlueNoroff, yang merupakan subdivisi dari grup Lazarus yang terkenal kejam, melancarkan dua kampanye yang sangat tertarget, yaitu 'GhostCall' dan 'GhostHire'.
Operasi berbahaya ini telah menyasar organisasi Web3 dan aset kripto di berbagai wilayah, termasuk India, Turki, Australia, dan negara-negara Eropa dan Asia, setidaknya sejak April 2025. Kedua kampanye ini merupakan perluasan dari operasi andalan mereka yang bermotif finansial, 'SnatchCrypto', dengan menggunakan teknik infiltrasi baru dan malware khusus untuk membahayakan pengembang dan eksekutif blockchain. Serangan ini menargetkan sistem macOS dan Windows utama, yang semuanya dikelola melalui infrastruktur perintah dan kontrol (Command and Control atau C2) terpadu.
Kampanye GhostCall: Penipuan Pertemuan Investasi Palsu
Kampanye GhostCall secara spesifik berfokus pada perangkat macOS, dimulai dengan serangan rekayasa sosial yang sangat canggih dan personal. Para penyerang menghubungi korban melalui Telegram, berpura-pura menjadi pemodal ventura (venture capitalist) atau bahkan menggunakan akun wirausahawan dan pendiri startup sungguhan yang telah diretas untuk mempromosikan peluang investasi atau kemitraan.
Korban kemudian diundang ke pertemuan investasi palsu di situs phishing yang meniru platform seperti Zoom atau Microsoft Teams. Selama pertemuan virtual tersebut, korban diminta untuk "memperbarui" klien mereka untuk memperbaiki masalah audio—sebuah trik yang mengunduh skrip berbahaya dan menyebarkan infeksi malware ke perangkat mereka.
Sojun Ryu, peneliti keamanan di Kaspersky GReAT, berkomentar bahwa kampanye ini mengandalkan penipuan yang direncanakan dengan cermat. Penyerang bahkan memutar ulang video korban sebelumnya selama pertemuan rekayasa sosial untuk memanipulasi target baru agar interaksi tampak seperti panggilan sungguhan.
Data yang didapat dari interaksi awal ini kemudian digunakan untuk serangan lanjutan dan serangan rantai pasokan, memanfaatkan hubungan kepercayaan yang telah terbentuk untuk membahayakan lebih banyak organisasi. Untuk melancarkan aksinya, penyerang menyebarkan tujuh rantai eksekusi multi-tahap untuk mendistribusikan berbagai muatan (payload), termasuk pencuri kripto, pencuri kredensial peramban, keylogger, dan pencuri kredensial Telegram.
Kampanye GhostHire: Rekrutmen Palsu untuk Developer Blockchain
Sementara itu, kampanye GhostHire menargetkan pengembang blockchain dengan modus penyamaran sebagai perekrut. Korban ditipu untuk mengunduh dan menjalankan repositori GitHub yang sebenarnya berisi malware. Meskipun berbagi infrastruktur dan perangkat dengan GhostCall, GhostHire memilih pendekatan langsung melalui rekrutmen palsu.
Setelah kontak awal, korban ditambahkan ke bot Telegram yang akan mengirimkan berkas ZIP atau tautan GitHub, seringkali dengan tenggat waktu singkat untuk menyelesaikan tugas yang diberikan. Setelah dieksekusi, malware tersebut akan menginstal dirinya sendiri, yang disesuaikan dengan sistem operasi korban.
Peran AI Generatif dalam Mempersulit Deteksi
Penggunaan AI generatif telah memungkinkan BlueNoroff untuk mempercepat pengembangan malware dan menyempurnakan teknik serangan mereka. Para penyerang dilaporkan memperkenalkan bahasa pemrograman baru dan menambahkan fitur tambahan, yang membuat tugas deteksi dan analisis menjadi jauh lebih sulit. Hal ini secara efektif meningkatkan kompleksitas dan skala serangan, sekaligus mempermudah pelaku mengelola operasinya.
Omar Amin, peneliti keamanan senior di Kaspersky GReAT, menyatakan bahwa sejak kampanye sebelumnya, strategi penargetan pelaku ancaman telah berkembang melampaui sekadar pencurian aset kripto biasa. Penggunaan AI generatif telah mempercepat proses pengembangan malware dengan biaya operasional yang lebih rendah.
Pendekatan berbasis AI ini membantu mengisi celah informasi yang tersedia, memungkinkan penargetan yang lebih terfokus. Dengan menggabungkan data yang disusupi dengan kemampuan analitis AI, cakupan serangan telah meluas. Kaspersky berharap penelitian ini dapat berkontribusi pada pencegahan kerusakan lebih lanjut.
Untuk tetap tangguh menghadapi ancaman seperti GhostCall dan GhostHire, organisasi disarankan untuk selalu berhati-hati terhadap penawaran investasi yang terlalu menggiurkan, memverifikasi identitas kontak baru melalui saluran aman, dan secara rutin memperbarui platform CMS serta plugin dengan kata sandi yang kuat dan autentikasi dua faktor.
