Vietnam diduga terlibat, sebar malware gunakan generator video AI

cover | @google

Google melalui unit keamanannya melaporkan temuan mengejutkan, sekelompok aktor ancaman siber memanfaatkan popularitas kecerdasan buatan atau artificial intelligence (AI), khususnya generator video bertenaga AI, sebagai kedok untuk menyebarkan malware berbahaya. Situs-situs web palsu yang tampak seperti layanan AI canggih ternyata hanyalah perangkap yang digunakan untuk mencuri data pengguna secara diam-diam.

Para peneliti keamanan dari Mandiant Threat Defense mengungkapkan bahwa kelompok pelaku membentuk jaringan situs web palsu yang meniru tampilan alat AI populer. Mereka kemudian membeli ruang iklan di platform media sosial seperti Facebook dan LinkedIn untuk menjangkau calon korban secara masif. Iklan-iklan ini dirancang agar tampak sah, menyamar sebagai promosi dari platform AI seperti Luma AI, Canva Dream Lab, atau Kling AI.

"Korban biasanya diarahkan ke situs web palsu ini melalui iklan media sosial berbahaya yang menyamar sebagai perangkat pembuat video AI yang sah seperti Luma AI, Canva Dream Lab, dan Kling AI, dan lain-lain," tulis Google dalam laporan resminya, dilansir Kamis (29/5/2025).

Kampanye ini dikaitkan dengan kelompok bernama UNC6032, yang telah aktif setidaknya sejak pertengahan 2024. Mereka memanfaatkan tren AI generatif untuk menipu pengguna agar mengunjungi situs palsu, di mana malware berbahaya kemudian diunduh ke perangkat korban. Malware yang disebarkan meliputi infostealer berbasis Python dan berbagai jenis backdoor yang memungkinkan kendali jarak jauh atas perangkat.

Setelah berhasil masuk ke sistem korban, malware tersebut digunakan untuk mencuri berbagai informasi penting, mulai dari kredensial login dan cookie, hingga data kartu kredit dan informasi akun media sosial. Salah satu saluran distribusi data yang digunakan pelaku adalah API Telegram, menandakan upaya yang cukup canggih dan terorganisir dalam menjaga kerahasiaan operasional mereka.

"Kami menduga kampanye serupa juga aktif di platform lain, karena penjahat dunia maya secara konsisten mengembangkan taktik untuk menghindari deteksi dan menargetkan beberapa platform untuk meningkatkan peluang keberhasilan mereka," bebernya.

Dugaan keterlibatan aktor dari Vietnam.

Situs web pembuatan video AI palsu | @google

Menurut penilaian Google Threat Intelligence Group (GTIG), kampanye ini berpotensi berasal dari aktor yang berbasis di Vietnam. Meskipun penyelidikan masih berlangsung, pola aktivitas dan infrastruktur digital yang digunakan menunjukkan adanya koneksi dengan wilayah tersebut. Target serangan pun beragam, mencakup berbagai sektor industri di banyak negara.

"Mandiant Threat Defense telah mengamati peretasan UNC6032 yang berujung pada pencurian kredensial login, cookie, data kartu kredit, dan informasi Facebook melalui API Telegram. Kampanye ini telah aktif setidaknya sejak pertengahan 2024 dan telah memengaruhi korban di berbagai wilayah dan industri. Google Threat Intelligence Group (GTIG) menilai UNC6032 memiliki kaitan dengan Vietnam," ungkapnya.

Mandiant mengapresiasi kolaborasi dengan Meta yang telah secara proaktif melakukan penelusuran ancaman dan menindak iklan, domain, serta akun-akun berbahaya yang terlibat. Menariknya, sebagian besar langkah mitigasi dari Meta dilakukan bahkan sebelum Mandiant menyampaikan informasi tambahan tentang aktivitas UNC6032, menunjukkan sistem deteksi internal Meta semakin efisien.

Selain Mandiant, perusahaan keamanan lain seperti Morphisec juga melakukan investigasi serupa. Ini menandakan bahwa skala kampanye UNC6032 cukup besar dan memicu kekhawatiran di kalangan komunitas keamanan siber. Kolaborasi lintas lembaga menjadi semakin penting untuk mengidentifikasi dan menghentikan penyebaran malware jenis ini.

Penjahat dunia maya secara cermat menggunakan fitur-fitur periklanan di platform seperti Facebook untuk menyesuaikan iklan dengan target demografi tertentu. Mereka menggunakan akun yang disusupi maupun akun palsu untuk membuat halaman dan menjalankan kampanye iklan berbahaya. Dalam banyak kasus, pengguna sulit membedakan iklan palsu dari yang asli karena tampilan profesional yang digunakan.

"Mandiant Threat Defense mengakui upaya Meta dalam perburuan ancaman yang kolaboratif dan proaktif dalam menghapus iklan, domain, dan akun berbahaya yang teridentifikasi. Khususnya, sebagian besar deteksi dan penghapusan Meta dimulai pada tahun 2024, sebelum Mandiant memberi tahu mereka tentang aktivitas berbahaya tambahan yang kami identifikasi," terangnya.

Sebagai bagian dari implementasi Undang-Undang Layanan Digital (DSA), Meta dan LinkedIn kini menyediakan transparansi lebih dalam iklan yang ditayangkan di kawasan Uni Eropa. Data dari perpustakaan iklan tersebut dimanfaatkan oleh Mandiant untuk mengidentifikasi lebih dari 30 situs berbeda yang terlibat dalam kampanye ini, dengan lebih dari 2,3 juta pengguna UE yang terpapar.