Waspada! Malware GPT-4 Mampu Bikin Ransomware & Shell

Para peneliti keamanan siber baru-baru ini menemukan bukti awal hadirnya malware yang mengintegrasikan kemampuan model bahasa besar (Large Language Model/LLM). Malware bernama MalTerminal, yang dipaparkan oleh tim riset SentinelOne SentinelLABS dalam konferensi LABScon 2025, menunjukkan bahwa pelaku ancaman kini mulai menanamkan AI langsung ke dalam alat berbahaya, bukan sekadar menggunakan AI untuk menyusun serangan dari jarak jauh.

LLM-embedded Malware: Lompatan Taktik Penyerang

Menurut laporan SentinelOne, pemanfaatan LLM di dalam malware merupakan perubahan paradigma: kemampuan model seperti GPT-4 untuk menghasilkan logika pemrograman dan perintah secara dinamis memungkinkan malware menciptakan fungsionalitas berbahaya saat berjalan di mesin korban. Kategori baru ini disebut LLM-embedded malware, dan MalTerminal disebut sebagai salah satu contoh paling awal yang berhasil ditemukan oleh peneliti.

Analisis tim menunjukkan MalTerminal adalah sebuah file eksekusi Windows yang memanggil endpoint API OpenAI (chat completions) — sebuah endpoint yang diketahui sudah dihentikan pada awal November 2023. Fakta ini mengindikasikan bahwa sampel tersebut dibuat sebelum penghentian endpoint itu, sehingga kemungkinan besar MalTerminal adalah malware pertama yang benar-benar memanfaatkan LLM secara langsung, menurut peneliti seperti Alex Delamotte, Vitaly Kamluk, dan Gabriel Bernadett-Shapiro.

Apa yang Bisa Dilakukan MalTerminal?

MalTerminal mampu memanfaatkan GPT-4 untuk dua tugas berbahaya secara dinamis:

• Membuat kode ransomware, malware dapat meminta model untuk menghasilkan payload atau logika yang menuntut tebusan.
• Membuka reverse shell, malware dapat memproduksi skrip untuk mendapatkan akses jarak jauh (reverse shell) ke sistem korban.

Selain itu, peneliti juga menemukan varian berbentuk skrip Python yang menawarkan pilihan kepada operatornya: apakah ingin membuat ransomware atau membuka reverse shell. Keberadaan skenario ini menunjukkan bahwa LLM dipakai untuk mempercepat pembuatan komponen berbahaya secara on-demand, mengurangi kebutuhan operator untuk menulis kode secara manual.

Pertahanan juga Menggunakan AI — Contoh FalconShield

Menariknya, laporan SentinelOne juga menyebut alat pertahanan bernama FalconShield. Alat ini memeriksa pola di dalam file Python target dan kemudian meminta model GPT untuk menentukan apakah file tersebut berbahaya. Hasilnya lalu disusun menjadi laporan analisis malware. Ini memperlihatkan dua hal sekaligus: pertama, LLM tak hanya dimanfaatkan oleh penyerang; kedua, model yang sama juga digunakan untuk memperkuat deteksi dan respons keamanan — menghasilkan perlombaan kemampuan antara serangan dan pertahanan.

Menyusup Lewat Email: Prompt Tersembunyi dan LLM Poisoning

Temuan dari kelompok riset lain, StrongestLayer, mengungkap taktik berbeda yang memanfaatkan LLM untuk menembus lapisan keamanan email. Pelaku kini memasukkan prompt tersembunyi di dalam lampiran HTML pada email phishing. Secara visual, email tampak normal namun HTML berisi komentar atau elemen tersembunyi (disembunyikan melalui CSS seperti display:none; color:white; font-size:1px;) yang dirancang untuk “berbicara” dengan sistem keamanan berbasis AI sehingga sistem tersebut menganggap lampiran aman.

Ketika pengguna membuka lampiran HTML, serangkaian eksploitasi dapat dimulai — misalnya memanfaatkan kerentanan Follina (CVE-2022-30190) untuk menjalankan file HTML Application (HTA) yang mengeksekusi PowerShell. Tahapan ini kemudian bisa men-download malware tambahan, menonaktifkan Microsoft Defender, dan menancapkan keberadaan malware di sistem korban. Teknik yang ditemukan StrongestLayer disebut juga LLM Poisoning: penggunaan komentar kode atau metadata untuk mengelabui alat analisis bertenaga AI agar keliru dalam menilai berbahaya/tidaknya file.

AI: Pedang Bermata Dua dalam Dunia Siber

Laporan gabungan menunjukkan bagaimana AI generatif menjadi “pedang bermata dua”. Platform pembuatan situs atau hosting bertenaga AI (seperti Lovable, Netlify, Vercel) yang mempermudah pembuatan halaman web kini juga bisa disalahgunakan untuk membuat halaman phishing skala besar. Trend Micro melaporkan peningkatan kampanye rekayasa sosial sejak Januari 2025, di mana pelaku memanfaatkan generator situs untuk membuat halaman CAPTCHA palsu yang kemudian mengarahkan korban ke situs phishing guna mencuri kredensial.

Metode ini efektif karena pemindai otomatis seringkali hanya mendeteksi halaman CAPTCHA yang terlihat sah dan melewatkan redirect tersembunyi. Akibatnya, serangan bisa beroperasi lebih cepat, lebih murah, dan dalam skala yang lebih besar daripada sebelumnya.

Implikasi dan Langkah Mitigasi

Kombinasi kemampuan LLM dan teknik rekayasa sosial menimbulkan tantangan baru bagi komunitas keamanan:

• Deteksi tradisional bisa kalah cepat: Malware yang mengenerate kode on-the-fly atau menyisipkan prompt tersembunyi mempersulit signature-based detection.
• Keamanan pipeline AI perlu ditingkatkan: Model yang digunakan untuk analisis harus tahan terhadap poisoning dan manipulasi prompt.
• Kebijakan penggunaan API dan kunci: Pengelolaan kredensial API dan pemantauan penyalahgunaan menjadi krusial agar layanan model tidak disalahgunakan.
• Pendidikan pengguna: Karena phishing kini semakin meyakinkan, literasi keamanan pengguna tetap menjadi garis pertahanan penting.

SentinelOne dan peneliti lain menegaskan bahwa walau belum ada bukti penggunaan MalTerminal di dunia nyata (kemungkinan besar masih proof-of-concept atau alat internal red team), temuan ini adalah peringatan dini.

Kombinasi AI dan malware membuka skenario serangan yang lebih adaptif dan otomatis yang berarti organisasi dan vendor keamanan harus berinovasi lebih cepat untuk menutup celah.

Perkembangan ini menuntut pendekatan keamanan yang lebih holistik — menggabungkan deteksi berbasis perilaku, ketahanan model AI terhadap manipulasi, pengelolaan kredensial yang ketat, serta edukasi pengguna.

Di balik semua itu, kolaborasi antara peneliti, vendor keamanan, dan pembuat kebijakan akan menjadi kunci untuk menahan gelombang ancaman baru yang didukung AI.