Modus Baru Hacker: AI Palsu untuk Curi Data Kripto

Di tengah pesatnya pertumbuhan teknologi Web3, ancaman keamanan digital justru kian mengintai para pengembangnya. Kelompok hacker bermotif ekonomi yang dikenal dengan nama EncryptHub juga disebut LARVA-208 dan Water Gamayun, baru-baru ini terdeteksi menjalankan operasi siber berbahaya yang menargetkan para pengembang Web3 melalui skema yang sangat terorganisir.

Alih-alih menggunakan pendekatan klasik seperti ransomware, kelompok ini kini menggunakan malware infostealer bernama Fickle Stealer. Sasaran utama mereka adalah pengembang independen yang bekerja dengan dompet kripto, kontrak pintar, dan sistem terdesentralisasi lainnya yang menyimpan data sensitif bernilai tinggi.

Memancing Melalui Platform AI Palsu dan Tawaran Kerja Palsu

Menurut laporan dari perusahaan keamanan siber asal Swiss, PRODAFT, kelompok peretas ini mengubah taktiknya dengan menyamar sebagai platform AI palsu bernama Norlax AI—yang meniru tampilan dan fungsi dari platform asli seperti Teampilot.

Cara kerja mereka cukup meyakinkan. Mereka menargetkan pengembang Web3 melalui berbagai kanal, seperti:

• X (sebelumnya Twitter)
• Telegram
• Situs lowongan kerja Web3 seperti Remote3

Mereka menawarkan tawaran kerja atau meminta korban untuk meninjau "portofolio proyek AI", lalu mengarahkan korban ke tautan wawancara daring di platform palsu Norlax AI.

Yang lebih licik, mereka memulai komunikasi awal melalui Google Meet—alat video conference yang sah dan terpercaya—untuk menurunkan kewaspadaan korban, lalu secara perlahan mengalihkan ke situs Norlax untuk "lanjutan wawancara."

Langkah Penyebaran Fickle Stealer yang Tersamar

Begitu korban sampai di halaman Norlax AI, mereka akan diarahkan untuk:

• Mengisi alamat email
• Memasukkan kode undangan
• Mengklik notifikasi kesalahan palsu, seperti pesan bahwa "driver audio telah kedaluwarsa"

Saat korban mengeklik tautan tersebut, sistem akan mengunduh file berbahaya yang menyamar sebagai driver audio Realtek HD. Padahal, file ini adalah perangkat lunak berbahaya yang menjalankan skrip PowerShell untuk mengunduh dan menjalankan Fickle Stealer.

Malware ini kemudian mulai bekerja dengan mencuri:

• Data login
• Informasi pengembangan proyek
• Dompet kripto
• File sensitif dari perangkat korban

Semua data yang berhasil dikumpulkan dikirim ke server eksternal yang dikenal dengan nama SilentPrism.

Dari Ransomware ke Penjualan Data: Strategi Monetisasi Baru

Serangan ini menandai pergeseran besar dalam strategi kelompok hacker. Jika sebelumnya mereka mengandalkan ransomware untuk meminta tebusan langsung, kini mereka fokus pada pencurian data untuk dijual di dark web atau digunakan dalam serangan lanjutan.

Menurut PRODAFT, strategi ini terbukti efektif, terutama karena data kredensial Web3 sangat bernilai dan sulit dilindungi oleh sistem keamanan tradisional.

Ancaman Tambahan: Ransomware Baru KAWA4096 dan Crux

Selain kampanye Fickle Stealer, dua ancaman ransomware baru juga mencuri perhatian komunitas keamanan dunia:

1. KAWA4096: Meniru Gaya Akira dan Qilin
   Dilaporkan oleh Trustwave SpiderLabs, KAWA4096 muncul pertama kali pada Juni 2025. Ransomware ini memiliki ciri:

   • Mengenkripsi file dalam shared drive
   • Menggunakan multithreading untuk mempercepat proses enkripsi
   • Menambahkan file ke antrean dan mengolahnya menggunakan beberapa worker thread
   • Menyinkronkan proses lewat semaphore, meningkatkan efisiensi serangan

   KAWA4096 sudah menyerang setidaknya 11 perusahaan di Amerika Serikat dan Jepang. Belum jelas bagaimana metode awal infeksinya, namun strukturnya mengadopsi gaya Akira dan Qilin, yang mungkin dimaksudkan untuk memberikan kesan "profesional" kepada korban.

2. Crux: Ransomware Baru yang Klaim Berafiliasi dengan BlackByte
   Satu lagi nama baru di dunia ransomware adalah Crux. Dilaporkan oleh Huntress, Crux terdeteksi dalam tiga insiden pada Juli 2025. Dalam salah satu kasus, pelaku menyusup menggunakan kredensial sah via RDP (Remote Desktop Protocol).Yang membuat Crux menonjol:

   • Menggunakan alat bawaan Windows seperti svchost.exe dan bcdedit.exe untuk menyamarkan aktivitas jahat
   • Mengubah konfigurasi boot agar sistem tidak bisa pulih (recovery disabled)
   • Menyamar sebagai proses sah untuk menghindari pendeteksian oleh sistem keamanan

Mengapa Pengembang Web3 Sangat Rentan?

Pengembang Web3 umumnya:

• Memiliki akses langsung ke aset digital bernilai tinggi
• Bekerja secara independen atau freelance tanpa perlindungan IT perusahaan
• Seringkali aktif dalam komunitas online dan menerima banyak tawaran kerja melalui media sosial

Kombinasi ini membuat mereka menjadi target empuk bagi kelompok siber seperti EncryptHub.

Tindakan Pencegahan yang Harus Dilakukan

Untuk melindungi diri dari ancaman semacam ini, berikut langkah penting yang perlu dilakukan pengembang dan organisasi Web3:

• Jangan mudah percaya pada platform atau software AI yang tidak dikenal
• Verifikasi semua tawaran kerja atau kolaborasi secara menyeluruh
• Hindari mengklik tautan mencurigakan, terutama dari orang yang baru dikenal
• Gunakan sistem EDR (Endpoint Detection and Response) untuk memantau perilaku proses seperti PowerShell dan svchost.exe
• Aktifkan otentikasi dua faktor (2FA) untuk semua akun sensitif
• Backup data secara rutin, terutama untuk file dan aset digital penting

Kampanye serangan dari EncryptHub menunjukkan bagaimana penjahat siber semakin pintar dan licik. Mereka tak lagi hanya mengandalkan virus sembarangan, tapi membangun seluruh infrastruktur palsu untuk menipu korban secara psikologis dan teknis.

Dengan berkembangnya teknologi seperti Web3 dan AI, serangan menjadi semakin terarah, canggih, dan personal. Oleh karena itu, kesadaran keamanan siber bukan hanya tanggung jawab perusahaan besar, tapi juga individu—terutama mereka yang bekerja dalam sektor teknologi dan blockchain.