NERACAONLINE – Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap aktivitas APT BlueNoroff terbaru melalui dua kampanye berbahaya yang sangat tertarget, yaitu ‘GhostCall’ dan ‘GhostHire’. Operasi yang sedang berlangsung ini telah menargetkan organisasi Web3 dan aset kripto di seluruh India, Turki, Australia, dan negara-negara lain di Eropa dan Asia setidaknya sejak April 2025.
BlueNoroff, subdivisi dari grup Lazarus yang terkenal kejam, terus memperluas kampanye andalannya, ‘SnatchCrypto’, sebuah operasi bermotif finansial yang menargetkan industri kripto di seluruh dunia. Kampanye GhostCall dan GhostHire yang baru dijelaskan ini menggunakan teknik infiltrasi baru dan malware khusus untuk membahayakan pengembang dan eksekutif blockchain. Serangan ini memengaruhi sistem macOS dan Windows sebagai target utama dan dikelola melalui infrastruktur perintah dan kontrol terpadu.
Kampanye GhostCall berfokus pada perangkat macOS, dimulai dengan serangan rekayasa sosial yang sangat canggih dan personal. Para penyerang menghubungi melalui Telegram, menyamar sebagai pemodal ventura, dan dalam beberapa kasus menggunakan akun wirausahawan dan pendiri startup sungguhan yang telah diretas untuk mempromosikan peluang investasi atau kemitraan. Para korban diundang ke pertemuan investasi palsu di situs phishing yang meniru Zoom atau Microsoft Teams. Selama pertemuan tersebut, mereka diminta untuk “memperbarui” klien mereka guna memperbaiki masalah audio. Tindakan ini mengunduh skrip berbahaya dan menyebarkan infeksi malware ke perangkat.
“Kampanye ini mengandalkan penipuan yang disengaja dan terencana dengan cermat. Penyerang memutar ulang video korban sebelumnya selama pertemuan yang direkayasa agar interaksi tampak seperti panggilan sungguhan dan memanipulasi target baru. Data yang dikumpulkan dalam proses ini kemudian digunakan tidak hanya untuk melawan korban pertama, tetapi juga dieksploitasi untuk memungkinkan serangan selanjutnya dan serangan rantai pasokan, memanfaatkan hubungan kepercayaan yang telah terjalin untuk membahayakan lebih banyak organisasi dan pengguna,” komentar Sojun Ryu, peneliti keamanan di Kaspersky GReAT.
Para penyerang menyebarkan tujuh rantai eksekusi multi-tahap untuk mendistribusikan berbagai muatan, termasuk pencuri kripto, pencuri kredensial peramban, keylogger, dan pencuri kredensial Telegram.
Dalam kampanye GhostHire, APT menargetkan pengembang blockchain dengan menyamar sebagai perekrut. Korban ditipu agar mengunduh dan menjalankan repositori GitHub berisi malware. GhostHire berbagi infrastruktur dan perangkatnya dengan kampanye GhostCall, tetapi alih-alih menggunakan panggilan video, GhostHire berfokus pada pendekatan langsung kepada pengembang dan teknisi melalui rekrutmen palsu. Setelah kontak awal, korban ditambahkan ke bot Telegram yang mengirimkan berkas ZIP atau tautan GitHub, beserta tenggat waktu singkat untuk menyelesaikan tugas. Setelah dieksekusi, malware tersebut menginstal dirinya sendiri di komputer korban, yang telah disesuaikan dengan sistem operasinya.
Penggunaan AI generatif telah memungkinkan BlueNoroff untuk mempercepat pengembangan malware dan menyempurnakan teknik serangannya. Para penyerang memperkenalkan bahasa pemrograman baru dan menambahkan fitur-fitur tambahan, yang mempersulit tugas deteksi dan analisis. Hal ini semakin memungkinkan pelaku untuk mengelola dan memperluas operasinya, sehingga meningkatkan kompleksitas dan skala serangan.
“Sejak kampanye sebelumnya, strategi penargetan pelaku ancaman telah berkembang melampaui pencurian aset kripto dan kredensial peramban biasa. Penggunaan AI generatif telah mempercepat proses ini secara signifikan, memungkinkan pengembangan malware yang lebih mudah dengan biaya operasional lebih rendah. Pendekatan berbasis AI ini membantu mengisi celah informasi yang tersedia, sehingga memungkinkan penargetan yang lebih terfokus. Dengan menggabungkan data yang disusupi dengan kemampuan analitis AI, cakupan serangan ini telah meluas. Kami berharap penelitian kami akan berkontribusi untuk mencegah kerusakan lebih lanjut,” komentar Omar Amin, peneliti keamanan senior di Kaspersky GReAT.
Untuk tetap terlindungi dari serangan seperti GhostCall dan GhostHire, organisasi disarankan untuk mengikuti praktik terbaik berikut:
- Berhati-hatilah dengan penawaran dan proposal investasi yang menggiurkan. Verifikasi identitas setiap kontak baru, terutama yang menghubungi melalui Telegram, LinkedIn, atau platform sosial lainnya. Gunakan saluran perusahaan yang terverifikasi dan aman untuk semua komunikasi sensitif.
- Pertimbangkan kemungkinan akun kontak tepercaya Anda dibobol. Verifikasi identitas melalui saluran alternatif sebelum membuka berkas dan tautan apa pun, dan selalu pastikan Anda berada di domain resmi. Hindari menjalankan skrip atau perintah yang tidak terverifikasi untuk menyelesaikan masalah.
- Untuk melindungi perusahaan dari berbagai ancaman, gunakan solusi dari lini produk Kaspersky Next yang menyediakan perlindungan real-time, visibilitas ancaman, investigasi, dan kemampuan respons EDR dan XDR untuk organisasi dengan berbagai skala dan industri. Bergantung pada kebutuhan Anda saat ini dan sumber daya yang tersedia, Anda dapat memilih tingkatan produk yang paling relevan dan dengan mudah bermigrasi ke tingkatan produk lain jika persyaratan keamanan siber Anda berubah.
- Gunakan layanan keamanan terkelola dari Kaspersky seperti Compromise Assessment, Managed Detection and Response dan/atau Incident Response, yang mencakup seluruh siklus manajemen insiden – mulai dari identifikasi ancaman hingga perlindungan dan remediasi berkelanjutan. Layanan ini membantu melindungi dari serangan siber yang bersifat evasif, menyelidiki insiden, dan menyediakan keahlian tambahan bahkan jika perusahaan kekurangan tenaga keamanan siber.
- Berikan profesional InfoSec Anda visibilitas mendalam tentang ancaman siber yang menargetkan organisasi Anda. Kaspersky Threat Intelligence terbaru akan memberikan konteks yang kaya dan bermakna di seluruh siklus manajemen insiden dan membantu mereka mengidentifikasi risiko siber secara tepat waktu.
