Peretas yang terkait dengan Korea Utara menggunakan panggilan video deepfake untuk menargetkan pekerja kripto

Singkatnya

• Penyerang telah menggunakan panggilan video palsu dan “perbaikan audio” Zoom untuk menyebarkan malware macOS.
• Metode ini cocok dengan metode intrusi yang sebelumnya didokumentasikan yang terkait dengan BlueNoroff dari Korea Utara, sebuah sub-kelompok Lazarus.
• Insiden ini terjadi saat penipuan impersonasi berbasis AI mendorong kerugian kripto mencapai rekor $17 miliar pada 2025.

Peretas yang terkait dengan Korea Utara terus menggunakan panggilan video langsung, termasuk deepfake yang dihasilkan AI, untuk menipu pengembang dan pekerja kripto agar menginstal perangkat lunak berbahaya di perangkat mereka sendiri. Dalam kasus terbaru yang diungkapkan oleh pendiri BTC Prague, Martin Kuchař, penyerang menggunakan akun Telegram yang dikompromikan dan panggilan video yang disusun untuk mendorong malware yang disamarkan sebagai perbaikan audio Zoom, katanya. “Kampanye peretasan tingkat tinggi” ini tampaknya “menargetkan pengguna Bitcoin dan kripto,” ungkap Kuchař pada hari Kamis di X. 

Penyerang menghubungi korban dan mengatur panggilan Zoom atau Teams, jelas Kuchař. Selama panggilan, mereka menggunakan video yang dihasilkan AI untuk tampil sebagai seseorang yang dikenal korban. Kemudian mereka mengklaim ada masalah audio dan meminta korban menginstal plugin atau file untuk memperbaikinya. Setelah terinstal, malware memberi penyerang akses penuh ke sistem, memungkinkan mereka mencuri Bitcoin, menguasai akun Telegram, dan menggunakan akun tersebut untuk menargetkan orang lain. Ini terjadi saat penipuan impersonasi berbasis AI telah mendorong kerugian terkait kripto ke rekor $17 miliar pada 2025, dengan penyerang semakin sering menggunakan video deepfake, kloning suara, dan identitas palsu untuk menipu korban dan mendapatkan akses ke dana, menurut data dari perusahaan analitik blockchain Chainalysis. Serangan serupa Serangan, seperti yang dijelaskan oleh Kuchař, sangat cocok dengan teknik yang pertama kali didokumentasikan oleh perusahaan keamanan siber Huntress, yang melaporkan pada Juli tahun lalu bahwa penyerang ini menjerat pekerja kripto target ke dalam panggilan Zoom yang disusun setelah kontak awal di Telegram, sering menggunakan tautan pertemuan palsu yang dihosting di domain Zoom palsu.

Selama panggilan, penyerang akan mengklaim ada masalah audio dan menginstruksikan korban menginstal apa yang tampak sebagai perbaikan terkait Zoom, yang sebenarnya adalah AppleScript berbahaya yang memulai infeksi macOS multi-tahap, menurut Huntress. Setelah dijalankan, skrip ini menonaktifkan riwayat shell, memeriksa atau menginstal Rosetta 2 (lapisan terjemahan) di perangkat Apple Silicon, dan berulang kali meminta kata sandi sistem pengguna untuk mendapatkan hak istimewa yang lebih tinggi. Studi tersebut menemukan bahwa rantai malware menginstal beberapa payload, termasuk backdoor permanen, alat pencatat ketukan dan clipboard, serta pencuri dompet kripto, urutan yang serupa yang dikemukakan Kuchař saat mengungkapkan pada hari Senin bahwa akun Telegram-nya dikompromikan dan kemudian digunakan untuk menargetkan orang lain dengan cara yang sama. Pola sosial Para peneliti keamanan di Huntress telah mengaitkan intrusi ini dengan tingkat kepercayaan tinggi terhadap ancaman persistensi tingkat lanjut yang terkait dengan Korea Utara yang dilacak sebagai TA444, juga dikenal sebagai BlueNoroff dan oleh beberapa alias lain yang beroperasi di bawah payung istilah Lazarus Group, sebuah kelompok yang didukung negara yang fokus pada pencurian cryptocurrency sejak setidaknya 2017. Saat ditanya tentang tujuan operasional dari kampanye ini dan apakah mereka berpikir ada korelasi, Shān Zhang, kepala petugas keamanan informasi di perusahaan keamanan blockchain Slowmist, mengatakan kepada Decrypt bahwa serangan terbaru terhadap Kuchař “mungkin” terkait dengan kampanye yang lebih luas dari Lazarus Group. “Ada penggunaan ulang yang jelas di seluruh kampanye. Kami secara konsisten melihat penargetan dompet tertentu dan penggunaan skrip instalasi yang sangat mirip,” kata David Liberman, co-creator jaringan komputasi AI terdesentralisasi Gonka, kepada Decrypt. Gambar dan video “tidak lagi dapat dianggap sebagai bukti keaslian yang dapat diandalkan,” kata Liberman, menambahkan bahwa konten digital “harus ditandatangani secara kriptografi oleh penciptanya, dan tanda tangan tersebut harus memerlukan otorisasi multi-faktor.” Narasi, dalam konteks seperti ini, telah menjadi “sinyal penting untuk dilacak dan dideteksi” mengingat bagaimana serangan ini “mengandalkan pola sosial yang dikenal,” katanya.

Lazarus Group dari Korea Utara terkait dengan kampanye terhadap perusahaan, pekerja, dan pengembang kripto, menggunakan malware yang disesuaikan dan rekayasa sosial yang canggih untuk mencuri aset digital dan kredensial akses.