Rabu, 29 Oktober 2025 – 11:29 WIB
Jakarta, VIVA – Tim Riset dan Analisis Global Kaspersky (GReAT) membongkar aktivitas terbaru APT BlueNoroff lewat dua kampanye berbahaya yang sangat ditarget, yaitu ‘GhostCall’ dan ‘GhostHire’.
Operasi yang masih berjalan ini sudah menarget organisasi Web3 dan aset kripto di berbagai negara seperti India, Turki, Australia, serta negara lain di Eropa dan Asia sejak setidaknya April 2025.
BlueNoroff, bagian dari grup Lazarus yang terkenal kejam, terus mengembangkan kampanye andalannya, ‘SnatchCrypto’, sebuah operasi bermotif finansial yang menyasar industri aset kripto di seluruh dunia.
Kampanye GhostCall dan GhostHire yang baru dijelaskan ini memakai teknik infiltrasi baru dan malware khusus untuk membahayakan pengembang dan eksekutif blockchain. Serangan siber ini memengaruhi sistem macOS dan Windows sebagai target utama dan dikendalikan lewat infrastruktur komando dan kontrol yang terpusat.
Kampanye GhostCall berfokus pada perangkat macOS, dimulai dengan serangan rekayasa sosial yang sangat canggih dan personal. Penyerang menghubungi via Telegram, menyamar sebagai investor venture capital, dan dalam beberapa kasus menggunakan akun pengusaha dan pendiri startup sungguhan yang sudah diretas untuk menawarkan peluang investasi atau kemitraan.
Korban diundang ke rapat investasi palsu di situs phishing yang meniru Zoom atau Microsoft Teams. Selama rapat, mereka diminta untuk "memperbarui" klien mereka guna memperbaiki masalah audio. Tindakan ini mengunduh skrip berbahaya dan menyebarkan infeksi malware ke perangkat.
"Kampanye ini mengandalkan penipuan yang disengaja dan direncanakan dengan sangat hati-hati. Penyerang memutar ulang video korban sebelumnya selama rapat yang direkayasa agar interaksi terlihat seperti panggilan sungguhan dan memanipulasi target baru. Data yang dikumpulkan dalam proses ini lalu dipakai tidak hanya untuk melawan korban pertama, tetapi juga dieksploitasi untuk memungkinkan serangan berikutnya dan serangan rantai pasok, memanfaatkan hubungan kepercayaan yang sudah terbangun untuk membahayakan lebih banyak organisasi dan pengguna," jelas Sojun Ryu, peneliti keamanan Kaspersky GReAT.
Para penyerang menyebarkan tujuh rantai eksekusi multi-tahap untuk mendistribusikan berbagai muatan, termasuk pencuri kripto, pencuri kredensial browser, keylogger, dan pencuri kredensial Telegram.
Dalam kampanye GhostHire, APT menarget pengembang blockchain dengan menyamar sebagai perekrut. Korban ditipu agar mengunduh dan menjalankan repositori GitHub berisi malware.
Halaman Selanjutnya
GhostHire berbagi infrastruktur dan perangkatnya dengan kampanye GhostCall, tetapi daripada menggunakan panggilan video, GhostHire berfokus pada pendekatan langsung ke pengembang dan teknisi lewat rekrutmen palsu.