Ringkasan Penting ZDNET
Google mendeteksi malware adaptif baru di lingkungan nyata.
Malware baru ini menggunakan LLM untuk menghasilkan kode secara dinamis.
Google juga merincikan tren kunci baru lain dalam serangan siber.
Penggunaan artificial intelligence (AI) dalam serangan siber telah memasuki fase baru: pengembangan malware baru yang aktif digunakan di lingkungan nyata.
Baru sekitar sebulan yang lalu, OpenAI menerbitkan laporan tentang bagaimana AI digunakan oleh threat actor, yang menggarisbawahi tren kunci termasuk efisiensi alur kerja berbahaya, phishing, dan pengintaian. OpenAI — pengembang di balik ChatGPT — pada saat itu menyatakan tidak ada bukti bahwa model AI yang ada digunakan dalam serangan baru. Namun, menurut pembaruan dari Google’s Threat Intelligence Group (GTIG), AI kini dijadikan senjata untuk mengembangkan malware adaptif.
Munculnya Malware AI Baru
Pembaruan yang diterbitkan pada 5 November itu menguraikan bagaimana AI dan large language models (LLM) dimanfaatkan dengan cara baru untuk menyempurnakan malware dan menciptakan keluarga malware yang sama sekali baru.
Sejumlah strain malware telah terdeteksi di lingkungan nyata yang menggunakan AI untuk secara dinamis menghasilkan skrip berbahaya, membuat perintah untuk pencurian data, mengaburkan kode, menghindari deteksi, dan mengubah perilaku malware selama fase serangan.
Google menguraikan fitur AI baru dalam strain malware berikut:
- FRUITSHELL: Reverse shell yang tersedia publik berisi perintah yang dikodekan secara keras yang dimaksudkan untuk melewati deteksi atau analisis oleh sistem keamanan bertenaga LLM.
- PROMPTFLUX: Malware eksperimental, VBScript dropper dengan pengaburan, yang menyalahgunakan API Google Gemini untuk menulis ulang kode sumbernya sendiri secara dinamis.
- PROMPTLOCK: Strain malware eksperimental lain, varian ransomware berbasis Go, yang memanfaatkan LLM untuk secara dinamis menghasilkan dan mengeksekusi skrip berbahaya.
- PROMPTSTEAL: Data miner Python aktif yang memanfaatkan AI untuk menghasilkan perintah pencurian data.
- QUIETVAULT: Pencuri kredensial JavaScript aktif yang menargetkan token GitHub dan NPM. Perintah AI dan alat AI yang terpasang pada host juga digunakan untuk mencari rahasia tambahan di sistem yang terinfeksi.
"Ini menandai fase operasional baru dari penyalahgunaan AI, yang melibatkan alat-alat yang secara dinamis mengubah perilaku di tengah eksekusi," kata para peneliti Google.
Google menyatakan bahwa meskipun beberapa proyek berbahaya ini tampak eksperimental, mereka menyoroti pergeseran dari penggunaan AI dan LLM murni untuk phishing atau peningkatan kode teknis melalui apa yang dikenal sebagai "vibe coding" — praktik menggunakan AI untuk menghasilkan kode berdasarkan konsep atau ide.
Para peneliti memperkirakan akan melihat lebih banyak penggunaan AI dalam fungsi-fungsi berbahaya tertentu di masa depan.
Tren Kunci Lainnya
Laporan Google juga mengeksplorasi beberapa tren kunci lain dalam dunia serangan siber AI. Yang pertama adalah semakin banyaknya adopsi "social engineering-like pretexts" dalam perintah untuk melewati pagar pengaman AI. Misalnya, perintah telah digunakan untuk mencoba memancing Gemini agar memberikan data yang biasanya dibatasi untuk publik umum. Dalam beberapa kasus, threat actor akan menyamar sebagai peneliti keamanan siber atau siswa yang berpartisipasi dalam kompetisi capture-the-flag.Tren kunci lain, yang juga dicatat oleh peneliti OpenAI, adalah penyalahgunaan model AI untuk menyempurnakan program dan infrastruktur berbahaya yang sudah ada. Google menyatakan bahwa kelompok yang didukung negara dari negara termasuk Korea Utara, Iran, dan China memanfaatkan AI untuk meningkatkan pengintaian, phishing, dan pusat command-and-control (C2).
Ada juga pergeseran notable yang terjadi di dunia bawah tanah kejahatan siber. Alat dan layanan berbasis AI mulai bermunculan di forum bawah tanah, termasuk deepfake dan generator malware, phishing kit, alat pengintaian, eksploitasi kerentanan, dan dukungan teknis.
"Evolusi ini menggarisbawahi bagaimana AI membuat malware modern lebih efektif. Penyerang kini menggunakan AI untuk menghasilkan kode yang lebih cerdas untuk ekstraksi data, pembajakan sesi, dan pencurian kredensial, memberi mereka akses lebih cepat ke penyedia identitas dan platform SaaS tempat data dan alur kerja kritis berada," komentar Cory Michal, CSO di AppOmni. "AI tidak hanya membuat email phishing lebih meyakinkan; ia membuat intrusi, penyalahgunaan hak istimewa, dan pencurian sesi menjadi lebih adaptif dan terukur. Hasilnya adalah generasi baru serangan yang diperkuat AI yang langsung mengancam inti operasi SaaS perusahaan, integritas data, dan ketahanan terhadap pemerasan."