Gemini Dipakai Spionase Digital, Ini Temuan Google

Perkembangan Artificial Intelligence (AI) yang semakin pesat tidak hanya membawa dampak positif bagi produktivitas dan inovasi, tetapi juga membuka peluang baru bagi kejahatan siber. Terbaru, raksasa teknologi Google mengungkap temuan serius terkait penyalahgunaan model AI generatif miliknya, Gemini, oleh aktor peretas yang didukung negara.

Dalam laporan resminya, Google menyebut kelompok peretas yang terkait dengan Korea Utara, yang dilacak dengan nama UNC2970, menggunakan Gemini untuk melakukan pengintaian digital, memprofilkan target, hingga mendukung berbagai tahapan serangan siber. Aktivitas ini menunjukkan bagaimana AI kini menjadi alat strategis dalam operasi spionase dan peretasan modern.

AI untuk Memetakan Target Strategis

Temuan ini dipublikasikan oleh Google Threat Intelligence Group (GTIG), unit intelijen keamanan siber milik Google. Dalam laporannya, GTIG menjelaskan bahwa UNC2970 memanfaatkan Gemini untuk mengolah open-source intelligence (OSINT).

Dengan bantuan AI, kelompok ini mampu mengumpulkan dan merangkum informasi mengenai perusahaan-perusahaan besar di sektor keamanan siber dan pertahanan. Mereka bahkan memetakan jabatan teknis tertentu beserta kisaran gaji yang ditawarkan.

Langkah ini bukan sekadar riset biasa. Google menilai bahwa aktivitas tersebut merupakan bentuk pengintaian yang canggih. Dengan memahami struktur organisasi, posisi strategis, dan profil individu di perusahaan target, pelaku dapat menyusun serangan yang lebih terarah dan meyakinkan.

Misalnya, data jabatan dan gaji dapat digunakan untuk membuat skenario phishing yang realistis, seperti tawaran pekerjaan dengan kompensasi menarik. Pendekatan semacam ini meningkatkan peluang korban untuk tertipu.

Jejak Operasi Dream Job

UNC2970 diketahui memiliki keterkaitan dengan kelompok peretas Korea Utara yang lebih luas, termasuk Lazarus Group, Diamond Sleet, dan Hidden Cobra. Kelompok ini dikenal luas lewat kampanye jangka panjang bernama Operation Dream Job.

Dalam Operation Dream Job, para peretas menyamar sebagai perekrut profesional dan menghubungi korban melalui email atau platform profesional. Mereka menawarkan lowongan kerja menarik di perusahaan ternama, khususnya di sektor kedirgantaraan, pertahanan, dan energi. Namun di balik tawaran tersebut, terselip malware yang dirancang untuk mencuri data atau membuka akses ke jaringan perusahaan.

Dengan bantuan Gemini, proses penyusunan persona perekrut palsu menjadi semakin mudah. AI dapat membantu merangkai pesan yang terdengar profesional, menyesuaikan bahasa dengan latar belakang korban, hingga merangkum informasi perusahaan agar tampak kredibel.

Bukan Satu-Satunya Kelompok

UNC2970 ternyata bukan satu-satunya aktor yang memanfaatkan Gemini. Google menemukan sejumlah kelompok lain yang juga menyalahgunakan model AI ini.

Kelompok UNC6418, misalnya, menggunakan Gemini untuk mengumpulkan kredensial sensitif dan alamat email. Sementara itu, Temp.HEX atau Mustang Panda dari Tiongkok memanfaatkannya untuk menyusun dossier individu tertentu dan mengumpulkan data tentang organisasi separatis di berbagai negara.

Kelompok APT31 dan APT41 juga terpantau memakai Gemini untuk membantu analisis kerentanan, membuat rencana pengujian keamanan, hingga memecahkan masalah pada kode eksploit. Bahkan, APT42 yang dikaitkan dengan Iran menggunakan AI untuk membangun persona rekayasa sosial serta mengembangkan alat pengambil data berbasis Python.

Fenomena ini menunjukkan pola baru: AI generatif tidak hanya dipakai untuk menulis teks atau membuat gambar, tetapi juga menjadi asisten teknis dalam operasi siber.

Taktik Mengelabui Sistem AI

Salah satu teknik yang kerap digunakan pelaku adalah menyamarkan niat mereka. Mereka mengaku sebagai peneliti keamanan atau peserta kompetisi capture-the-flag (CTF) untuk mendapatkan respons yang lebih detail dari sistem AI.

Steve Miller, pimpinan ancaman AI di GTIG, menegaskan bahwa Google terus memperbarui mekanisme keamanannya.

Menurutnya, ketika pelaku mulai menemukan hambatan dalam menyalahgunakan sistem, mereka akan mencoba metode baru untuk melewati perlindungan yang ada. Namun, Gemini disebut semakin canggih dalam mengenali pola manipulasi berbasis persona dan memberikan respons yang aman.

Malware HONESTCUE dan Phishing COINBAIT

Selain aktivitas pengintaian, Google juga menemukan malware bernama HONESTCUE. Malware ini memanfaatkan API Gemini untuk menghasilkan kode C# yang kemudian digunakan dalam tahap lanjutan serangan.

HONESTCUE bekerja sebagai kerangka downloader dan launcher. Ia mengirimkan permintaan ke API Gemini dan menerima kode sumber sebagai respons. Kode tersebut lalu dikompilasi dan dijalankan langsung di memori menggunakan framework .NET resmi, tanpa meninggalkan jejak di hard disk. Teknik ini dikenal sebagai fileless attack, yang sulit dideteksi karena tidak menghasilkan file mencurigakan di sistem.

Tak hanya itu, Google juga menemukan kit phishing berbasis AI bernama COINBAIT. Kit ini dibuat menggunakan Lovable AI dan menyamar sebagai platform pertukaran kripto. Tujuannya adalah mencuri kredensial login pengguna. Sebagian aktivitas COINBAIT dikaitkan dengan kelompok bermotif finansial bernama UNC5356.

Serangan Ekstraksi Model

Ancaman lain yang tak kalah serius adalah serangan ekstraksi model. Dalam skenario ini, penyerang mengirimkan ribuan hingga ratusan ribu permintaan ke model AI untuk mempelajari pola responsnya. Tujuannya adalah membangun model tiruan yang meniru perilaku model asli.

Google mengungkap bahwa Gemini pernah menjadi target lebih dari 100.000 prompt dalam upaya semacam ini. Pertanyaan yang diajukan dirancang untuk meniru kemampuan penalaran model di berbagai bahasa.

Perusahaan keamanan Praetorian bahkan mendemonstrasikan proof-of-concept (PoC) serangan ekstraksi model. Dengan hanya 1.000 permintaan API, model tiruan yang mereka bangun mampu mencapai tingkat akurasi 80,1 persen dibanding model asli.

Peneliti keamanan Farida Shafik memperingatkan bahwa menjaga bobot model tetap rahasia tidak cukup untuk melindungi sistem. Menurutnya, setiap pasangan pertanyaan dan jawaban dari API merupakan contoh pelatihan potensial bagi model tiruan.

“Perilaku adalah model itu sendiri,” ujarnya. Artinya, setiap respons API bisa dimanfaatkan untuk menyalin kecerdasan model.

AI: Senjata Penyerang dan Peluang Pembela

Google sendiri telah meluncurkan AI Cyber Defense Initiative pada 2024. Perusahaan menilai AI justru bisa menjadi kunci untuk membalik “Defender’s Dilemma” — kondisi di mana pembela harus selalu siap, sementara penyerang hanya perlu berhasil satu kali.

Menurut Miller, para penyerang kini secara rutin menggunakan AI untuk meningkatkan produktivitas dan efektivitas mereka. Oleh karena itu, pihak pembela juga harus berinvestasi dalam AI untuk membangun sistem pertahanan otomatis yang mampu beroperasi secepat mesin.

Pernyataan ini menegaskan bahwa masa depan keamanan siber akan semakin ditentukan oleh perlombaan teknologi berbasis AI. Di satu sisi, AI mempercepat inovasi dan efisiensi. Di sisi lain, teknologi yang sama juga dimanfaatkan untuk mempercepat serangan.

Bagi organisasi dan perusahaan, temuan ini menjadi pengingat penting untuk memperkuat tata kelola keamanan, meningkatkan kesadaran karyawan terhadap phishing, serta memantau penggunaan API dan model AI secara ketat.

Karena pada akhirnya, dalam era AI, pertarungan di dunia siber bukan lagi sekadar soal manusia melawan manusia, melainkan mesin melawan mesin — dengan kecepatan dan skala yang belum pernah terjadi sebelumnya.