Divisi keamanan siber Google, Mandiant, telah mengeluarkan peringatan bahwa pelaku ancaman yang terkait dengan Korea Utara semakin menggabungkan teknologi deepfake yang dihasilkan AI ke dalam kampanye rekayasa sosial yang canggih yang menargetkan perusahaan cryptocurrency dan fintech.
Dalam sebuah laporan yang dirilis pada hari Senin, Mandiant merinci penyelidikan terbaru tentang pelanggaran di sebuah perusahaan fintech yang dikaitkan dengan UNC1069 — juga dikenal sebagai “CryptoCore” — sebuah kluster ancaman yang dinilai memiliki hubungan kuat dengan Korea Utara. Operasi ini menggabungkan akun Telegram yang terkompromikan, pertemuan Zoom yang menipu, dan teknik yang dikenal sebagai “ClickFix” untuk menipu korban agar menjalankan perintah berbahaya. Penyidik juga mengidentifikasi bukti bahwa video yang dihasilkan AI digunakan selama pertemuan palsu untuk meningkatkan kredibilitas peniruan.
Kampanye Rekayasa Sosial yang Sangat Terarah
Menurut Mandiant, UNC1069 telah memperluas fokusnya di luar kampanye phishing yang luas untuk melakukan serangan yang sangat dipersonalisasi yang ditujukan pada organisasi dan individu di ekosistem kripto. Target yang dilaporkan termasuk perusahaan perangkat lunak, pengembang blockchain, perusahaan modal ventura, dan tim kepemimpinan eksekutif.
Rantai serangan yang dijelaskan dalam laporan dimulai ketika seorang korban dihubungi melalui Telegram oleh sosok yang tampaknya merupakan eksekutif terkenal di industri kripto. Namun, akun tersebut diduga telah dikompromikan dan berada di bawah kendali penyerang. Setelah menjalin hubungan, penyerang mengirim tautan penjadwalan Calendly untuk pertemuan selama 30 menit, mengalihkan korban ke sesi Zoom palsu yang dihosting di infrastruktur yang dikuasai oleh kelompok ancaman.
Selama panggilan, korban dilaporkan mengamati sosok yang tampak seperti CEO kripto yang dikenal di video — yang kemudian dinilai sebagai konten deepfake yang dihasilkan oleh AI.
Tak lama setelah pertemuan dimulai, para penyerang mengklaim ada masalah audio dan menginstruksikan korban untuk mengeksekusi perintah “pemecahan masalah” tertentu — variasi dari teknik ClickFix. Tindakan ini memicu penyebaran malware. Analisis forensik selanjutnya mengidentifikasi tujuh keluarga malware yang berbeda di sistem korban, yang dirancang untuk mencuri kredensial login, data browser, dan token sesi untuk pencurian finansial dan peniruan lebih lanjut.
Peningkatan Pencurian Kripto Terkait Korea Utara
Peringatan ini datang di tengah pertumbuhan berkelanjutan dalam pencurian terkait kripto yang dikaitkan dengan pelaku yang terkait dengan Korea Utara. Pada pertengahan Desember, perusahaan analitik blockchain Chainalysis melaporkan bahwa peretas yang terkait dengan Pyongyang mencuri sekitar $2.02 miliar dalam aset digital pada tahun 2025 — peningkatan 51% dibandingkan tahun sebelumnya. Nilai kumulatif aset digital yang diduga dicuri oleh kelompok semacam itu kini diperkirakan sekitar $6.75 miliar, meskipun jumlah total insiden telah menurun.
Angka-angka ini menunjukkan pergeseran menuju operasi yang lebih sedikit namun lebih berdampak secara finansial.
Analis keamanan mencatat bahwa alih-alih bergantung pada email phishing massal, kelompok seperti CryptoCore semakin memanfaatkan saluran komunikasi yang tepercaya — termasuk aplikasi pesan dan platform konferensi video — untuk mengeksploitasi familiaritas dan kepercayaan profesional. Dengan menyematkan aktivitas berbahaya dalam interaksi bisnis rutin, penyerang mengurangi bendera merah yang terlihat dan meningkatkan kemungkinan keberhasilan.
Deepfake dan AI Memperkuat Taktik Peniruan
Fraser Edwards, Co-founder dan CEO perusahaan identitas terdesentralisasi cheqd, menyatakan bahwa insiden tersebut mencerminkan evolusi yang lebih luas dalam taktik kejahatan siber, terutama saat kolaborasi jarak jauh dan pertemuan virtual menjadi standar di sektor aset digital.
Ia menekankan bahwa efektivitas operasi semacam itu terletak pada subtilitasnya: pengirim yang familiar, format pertemuan yang dikenali, dan tidak ada lampiran berbahaya yang mencolok. Kepercayaan dibangun sebelum langkah-langkah teknis memiliki kesempatan untuk campur tangan.
Menurut Edwards, video deepfake sering diperkenalkan selama tahap eskalasi — seperti panggilan langsung — di mana kehadiran visual dari wajah yang familiar dapat mengesampingkan kecurigaan yang dipicu oleh permintaan atau gangguan teknis yang tidak biasa. Tujuannya bukan interaksi yang berkepanjangan, tetapi realisme yang cukup untuk mendorong target mengambil tindakan kritis.
AI juga dilaporkan digunakan di luar peniruan video. Alat yang mampu menyusun pesan yang peka konteks, meniru nada, dan mereplikasi gaya komunikasi membuat upaya penipuan jauh lebih sulit untuk dideteksi. Seiring agen AI semakin terintegrasi ke dalam alur kerja sehari-hari — mengirim pesan, menjadwalkan pertemuan, dan bertindak atas nama pengguna — potensi skala peniruan otomatis meningkat.
Kebutuhan akan Infrastruktur Keamanan Default
Edwards berpendapat bahwa mengharapkan individu untuk secara andal mendeteksi deepfake adalah tidak realistis. Sebaliknya, organisasi harus fokus pada penguatan sistem keamanan default, meningkatkan lapisan autentikasi, dan secara jelas menandai keaslian konten.
Alih-alih hanya mengandalkan kewaspadaan pengguna, para ahli merekomendasikan penerapan autentikasi multi-faktor, kunci keamanan perangkat keras, pemantauan sesi, dan kerangka kerja zero-trust — terutama untuk perusahaan yang menangani aset digital.
Seiring kemampuan AI berkembang, batas antara komunikasi otentik dan sintetis terus kabur, menciptakan risiko operasional baru bagi perusahaan kripto-natif yang sangat bergantung pada kepercayaan digital.
Artikel ini disediakan hanya untuk tujuan informasi dan tidak merupakan nasihat investasi. Pembaca harus melakukan penelitian mereka sendiri dan menilai risiko sebelum membuat keputusan keuangan.
Ikuti untuk pembaruan keamanan kripto yang terverifikasi dan wawasan pasar institusional.