Serangan Global EvilAI: Malware Berkedok Aplikasi AI Sah

Kelompok peretas kini semakin canggih: mereka memanfaatkan aplikasi yang tampak seperti alat Artificial Intelligence (AI) atau aplikasi produktivitas untuk menyusup dan menanamkan malware ke dalam organisasi di seluruh dunia. Kampanye yang diberi nama EvilAI oleh Trend Micro ini menunjukkan bagaimana serangan modern tidak lagi mengandalkan file “jelas berbahaya”, melainkan menyamar rapi di balik antarmuka profesional dan sertifikat digital yang valid — sehingga sulit dideteksi oleh pengguna maupun alat keamanan.

Menurut laporan Trend Micro, EvilAI menyasar beragam wilayah secara global, termasuk Eropa, Amerika, dan kawasan Asia, Timur Tengah, serta Afrika (AMEA). Sektor yang paling sering menjadi korban meliputi:

• Manufaktur
• Pemerintahan
• Layanan kesehatan
• Teknologi
• Ritel

Negara-negara dengan infeksi terbanyak antara lain India, Amerika Serikat, Prancis, Italia, Brasil, Jerman, Inggris, Norwegia, Spanyol, dan Kanada — menegaskan bahwa kampanye ini bersifat internasional dan masif.

Para peneliti menyatakan bahwa penyebaran yang cepat dan luas ini bukan insiden tunggal, tetapi kampanye aktif yang terus berkembang dan beradaptasi dengan cepat.

 
Apa itu EvilAI?

EvilAI adalah label yang digunakan Trend Micro untuk kelompok serangan yang memanfaatkan aplikasi yang tampak seperti alat AI atau aplikasi produktivitas. Karakteristik utamanya:

• Bertopeng sebagai perangkat lunak sah: aplikasi memiliki antarmuka profesional dan fitur yang tampak berfungsi sehingga pengguna merasa normal saat menggunakannya.
• Memakai sertifikat digital: aplikasi ditandatangani secara digital agar terlihat legit dan melewati pemeriksaan keamanan dasar.
• Berfungsi sebagai “stager”: EvilAI bertindak sebagai pintu masuk — mendapatkan akses awal, menetapkan persistensi, lalu menyiapkan sistem untuk muatan (payload) tambahan.

Beberapa nama aplikasi yang dipakai penyerang adalah: AppSuite, Epi Browser, JustAskJacky, Manual Finder, OneStart, PDF Editor, Recipe Lister, dan Tampered Chef. Beberapa perusahaan keamanan lain seperti Expel, G DATA, dan TRUESEC juga melaporkan aspek-aspek terkait kampanye ini.

 
Teknik Penyusupan dan Modus Operandi

Para pelaku memanfaatkan beberapa taktik agar malware tetap tersembunyi dan meyakinkan korban:

1. Antarmuka profesional
   Aplikasi dibuat semirip mungkin dengan software asli: tampilan rapi, fitur dasar berfungsi, sehingga pengguna tidak curiga.

2. Sertifikat digital valid
   Bukan sekadar aplikasi palsu: penyerang memakai sertifikat code-signing untuk membuat file terlihat sah. Sertifikat ini kadang berasal dari perusahaan “sekali pakai” sehingga ketika tanda tangan lama dicabut, mereka beralih ke sertifikat baru.

3. Distribusi yang beragam
   Penyebaran melalui situs baru yang meniru portal vendor, iklan berbahaya, manipulasi SEO, serta tautan unduhan yang dipromosikan di forum dan media sosial.

4. Fungsi utama: pengintaian dan komunikasi terenkripsi
   Setelah terpasang, malware melakukan pengintaian mendalam, mencuri data sensitif dari browser, lalu berkomunikasi dengan server pengendali (C2) melalui saluran terenkripsi (misalnya AES) untuk menerima perintah dan mengunduh muatan tambahan.

5. Menghambat analisis
   Malware melakukan enumerasi pada perangkat korban untuk mendeteksi perangkat lunak keamanan yang terpasang dan melakukan tindakan untuk menghindari deteksi serta analisis lebih lanjut.

Alih-alih menonjol sebagai file berbahaya, trojan ini masuk sebagai perangkat lunak yang tampak berguna — sehingga masuk ke jaringan perusahaan maupun perangkat personal dan menetap (persistence) sebelum ada kecurigaan.

 
BaoLoader vs TamperedChef: Hubungan dan Perbedaan

Analisis beberapa perusahaan keamanan mengungkap hubungan kompleks antara nama-nama malware yang muncul selama penyelidikan:

• BaoLoader
  Dikenali oleh beberapa analis (mis. Expel) sebagai backdoor utama yang memungkinkan operator mengeksekusi perintah apa pun di sistem korban. Dalam praktiknya, BaoLoader diduga sering digunakan untuk advertising fraud (penipuan iklan digital) dan juga sebagai cara untuk menginstal aplikasi lain lewat mekanisme afiliasi.

• TamperedChef
  Awalnya diidentifikasi sebagai aplikasi resep yang berbahaya—terkonfigurasi untuk membuat saluran komunikasi tersembunyi dengan server jarak jauh dan menerima perintah untuk mencuri data. TRUESEC sempat menamai varian ini TamperedChef, namun analisis lebih lanjut menunjukkan banyak tumpang tindih dengan BaoLoader.

Perbedaan yang dilaporkan antara keduanya salah satunya terlihat pada pola sertifikat digital: TamperedChef tercatat menggunakan sertifikat yang dikeluarkan untuk perusahaan di Ukraina dan Inggris, sementara BaoLoader sering menggunakan sertifikat dari Panama dan Malaysia. Namun, keterkaitan infrastruktur dan pola operasi menunjukkan ada kemungkinan penggunaan sumber daya bersama — entah melalui layanan Malware-as-a-Service (MaaS) atau pasar sertifikat yang memfasilitasi distribusi luas.

 
Evolusi Teknik: NeutralinoJS dan Unicode Homoglyphs

Temuan terbaru menunjukkan bahwa para pelaku juga memanfaatkan teknologi dan teknik canggih lain:

• NeutralinoJS
  Beberapa sampel malware menyamar sebagai aplikasi kalender atau penampil gambar yang dibangun dengan NeutralinoJS — sebuah framework desktop ringan yang memungkinkan eksekusi JavaScript dan interaksi dengan API native. Dengan ini, penyerang bisa menjalankan kode JavaScript berbahaya yang memberi kemampuan seperti mengakses sistem file, memicu proses baru, dan berkomunikasi lewat jaringan secara tersembunyi.

• Unicode homoglyphs
  Untuk menyamarkan payload, malware menggunakan homoglyphs — karakter Unicode yang tampak mirip dengan huruf biasa tetapi berbeda di tingkat encoding. Teknik ini membantu menyembunyikan perintah atau muatan dalam respons API yang terlihat “benign”, sehingga mengelabui deteksi berbasis pencocokan string atau signature.

Kombinasi teknik ini membuat pengidentifikasian dan mitigasi menjadi semakin sulit bagi alat keamanan tradisional.

 
Implikasi dan Langkah Pencegahan

Kampanye EvilAI menunjukkan evolusi ancaman siber: bukan hanya malware yang lebih canggih, tetapi juga model distribusi yang memanfaatkan kepercayaan pengguna terhadap label “AI” dan estetika aplikasi modern. Implikasinya nyata: organisasi dari berbagai sektor harus menguatkan pertahanan dan meningkatkan kewaspadaan.

Beberapa langkah praktis yang direkomendasikan:

• Verifikasi sumber perangkat lunak: Unduh aplikasi hanya dari situs resmi vendor atau toko aplikasi terpercaya; jangan mengandalkan hasil pencarian yang dipromosikan.

• Perhatikan tanda tangan digital: Meski sertifikat bisa disalahgunakan, periksa reputasi penerbit sertifikat bila ada kecurigaan.

• Gunakan solusi EDR/advanced detection: Alat keamanan endpoint yang mampu mendeteksi perilaku mencurigakan (behavioral analysis) lebih efektif ketimbang hanya signature-based detection.

• Segmentasi jaringan dan kebijakan least privilege: Batasi akses aplikasi yang tidak tepercaya dan kurangi hak akses default.

• Edukasi pengguna: Beri tahu staf agar berhati-hati terhadap aplikasi yang tiba-tiba muncul lewat iklan atau link luar; ajarkan cara mengenali indikasi aplikasi palsu.

• Pemantauan dan threat hunting rutin: Proaktif mencari jejak aktivitas anomali di jaringan dan sistem.
   

EvilAI bukan sekadar contoh malware biasa — ia mencerminkan bagaimana penyerang memanfaatkan reputasi “AI” dan tampilan profesional aplikasi untuk menipu pengguna dan menyelinap ke dalam organisasi global. Dengan kombinasi penyamaran visual, penggunaan sertifikat digital, pemanfaatan framework seperti NeutralinoJS, dan teknik encoding canggih seperti homoglyphs, kampanye ini menantang pendekatan keamanan tradisional.

Organisasi perlu bergerak dari pola reaktif ke pola proaktif: memperkuat proses verifikasi perangkat lunak, memperbarui strategi deteksi berbasis perilaku, serta meningkatkan literasi keamanan pengguna. Hanya dengan pendekatan menyeluruh seperti itu, peluang untuk menahan dan mengurangi dampak serangan sejenis dapat meningkat signifikan.