Infostyler di repositori palsu OpenAI, pemerasan Mistral AI dan peristiwa keamanan siber lainnya - ForkLog: cryptocurrency, AI, singularitas, masa depan

# Infostiler di repositori palsu OpenAI, pemerasan Mistral AI dan kejadian keamanan siber lainnya

Kami mengumpulkan berita terpenting dari dunia keamanan siber selama seminggu.

• ZachXBT mengungkap identitas penyelenggara serangan phishing senilai $19 juta.
• Tiga tersangka dituduh dalam serangkaian “serangan kunci pas” di California.
• Repositori palsu OpenAI menyebarkan infostiler.
• “Sampah AI” memenuhi platform untuk peretas dan penipu siber.

ZachXBT mengungkap identitas penyelenggara serangan phishing senilai $19 juta

Peneliti on-chain ZachXBT mengungkap detail penyelidikan pencurian cryptocurrency melalui phishing senilai lebih dari $19 juta

1/ Kenalkan Dritan Kapllani Jr, aktor ancaman berbasis AS yang terkait dengan $19M dari pencurian rekayasa sosial yang menargetkan pemilik crypto.

Dritan memamerkan mobil mewah, jam tangan, jet pribadi, & klub di seluruh media sosial.

Baru-baru ini dia direkam dalam panggilan menunjukkan dompet dengan dana curian. pic.twitter.com/iDKyUjUm4M

— ZachXBT (@zachxbt) 12 Mei 2026

Tersangka utama adalah hacker Amerika Dritan Kapllani Jr. Titik awal deanonimisasi pelaku adalah kelalaiannya sendiri.

Pada 23 April 2026, saat panggilan video di Discord, Kapllani terlibat argumen dengan salah satu pengguna tentang besarnya modal (band 4 band). Sebagai bukti, dia menunjukkan layar dompet kripto Exodus dengan saldo $3,68 juta.

ZachXBT menganalisis rantai transaksi alamat Ethereum. Terungkap bahwa dana terkait dengan pencurian 185 BTC yang terjadi 14 Maret 2026. Penelitian menunjukkan bahwa 15 Maret, dana milik Kapllani masuk ke dompetnya — $5,3 juta. Pada saat panggilan video di April, hacker sudah menghabiskan atau mencuci sekitar $1,6 juta.

Dalam penyelidikan, detektif juga menemukan hubungan Kapllani dengan insiden sebelumnya. Bantuan diberikan oleh pelaku kejahatan siber John Dagita, yang sebelumnya ditangkap karena mencuri lebih dari $40 juta dari pemerintah AS. Sebagai balas dendam atas konflik sebelumnya, dia memposting salah satu alamat lama Kapllani di Telegram.

ZachXBT mengonfirmasi kepemilikannya: algoritma penarikan dana sepenuhnya cocok dengan yang digunakan saat pencurian 185 BTC. Juga diketahui bahwa pada musim gugur 2025, lebih dari $5,85 juta yang dicuri dalam lima serangan phishing melalui dompet ini.

Ahli tersebut membantu salah satu korban dalam penyelidikan, tetapi sengaja tidak mempublikasikan kesimpulannya sampai tindakan resmi dari pihak berwenang.

11 Mei 2026, dokumen pengadilan terkait pencurian 185 BTC diungkap ke publik

Tuduhan telah diajukan:

• Trenton Johnson — atas keterlibatannya langsung dalam pencurian. Dia terancam hukuman hingga 40 tahun penjara;
• influencer crypto dengan nama pengguna yelotree — atas bantuan dalam pencucian dana melalui bisnis penyewaan mobil di Miami (hingga 30 tahun penjara).

Kapllani menjalani gaya hidup mewah dan terbuka, menunjukkan pesawat pribadi dan mobil mahal di media sosial. Lama dia mampu menghindari penangkapan — detektif mengaitkan “ketahanan” ini dengan praktik umum menunda penuntutan hukum terhadap anak di bawah umur. Karena Kapllani baru berusia 18 tahun, ZachXBT menduga bahwa dalam waktu dekat dia akan dikenai tuduhan.

Tiga tersangka dituduh dalam serangkaian “serangan kunci pas” di California

Pengadilan AS menuduh Elijah Armstrong, Nino Chindavan, dan Jaden Raker atas pencurian, perampokan, dan konspirasi terkait serangkaian pencurian cryptocurrency

Menurut dokumen kasus, tersangka pindah dari Tennessee ke California. Untuk masuk ke rumah korban, mereka mengaku sebagai kurir.

Pada November 2025 di San Francisco, “kurir” dengan kotak di tangan menyerang pelanggan di pintu masuk apartemen. Korban diikat dengan lakban, dipukul dengan gagang pistol, dan diancam agar mentransfer $10 juta dalam Bitcoin dan $3 juta dalam Ethereum.

Dalam insiden lain, “serangan kunci pas” (wrench attack), korban kehilangan cryptocurrency senilai $6,5 juta.

Armstrong dan Raker ditangkap di Los Angeles pada 31 Desember 2025, dan Chindavan di Sunnyvale pada 22 Desember 2025. Mereka terancam:

• hingga 20 tahun penjara untuk perampokan dan percobaan penculikan;
• penjara seumur hidup untuk konspirasi penculikan;
• denda sebesar $250.000 untuk masing-masing tuduhan.

Menurut CertiK, pada 2025 tercatat 72 kasus “serangan kunci pas” di seluruh dunia, meningkat 75% dari tahun sebelumnya. Total kerugian dari kejahatan ini mencapai rekor $41 juta.

Repositori palsu OpenAI menyebarkan infostiler

Repositori berbahaya di Hugging Face meniru proyek Privacy Filter dari OpenAI untuk menyebarkan infostiler. Dilaporkan oleh peneliti HiddenLayer.

Platform Hugging Face memungkinkan pengembang dan peneliti bertukar model AI, dataset, dan alat pembelajaran mesin.

Menurut para ahli, penipu menggunakan penulisan yang mirip di repositori Open-OSS/privacy-filter, yang berisi file loader.py yang menjalankan malware untuk mencuri data di Windows.

Sumber: HiddenLayer.Python-script ini berisi kode palsu terkait AI agar terlihat tidak berbahaya. Namun, secara latar belakang, kode ini menonaktifkan verifikasi kunci SSL, mendekode URL yang mengarah ke sumber eksternal, lalu mengeksekusi perintah PowerShell.

Kode yang dijalankan di jendela tak terlihat ini mengunduh file batch start.bat. Ia meningkatkan hak istimewa di sistem dan mengunduh payload akhir, menambahkannya ke pengecualian Microsoft Defender. Payload ini adalah infostiler yang ditulis dalam Rust, mampu mengambil screenshot layar. Program ini mencuri:

• cookie, password tersimpan, kunci enkripsi, riwayat penelusuran di browser berbasis Chromium dan Gecko;
• token Discord, basis data lokal, dan kunci utama;
• dompet kripto dan versi browser-nya;
• kredensial dan file konfigurasi SSH, FTP, dan VPN, termasuk FileZilla;
• informasi sistem.

Para peneliti mencatat bahwa sebagian besar dari 667 akun yang menyukai repositori berbahaya ini tampaknya dihasilkan secara otomatis. Selain itu, jumlah unduhan sebanyak 244.000 juga mungkin dibuat secara artifisial.

“Sampah AI” memenuhi platform untuk peretas dan penipu siber

Di darknet, semakin sering muncul keluhan tentang “sampah AI” yang menyusup ke diskusi, panduan, dan posting teknis. Dilaporkan oleh Wired berdasarkan studi dari Universitas Cambridge dan Strathclyde University

Para ahli mempelajari sekitar 98.000 rangkaian di forum peretas terkait AI sejak peluncuran ChatGPT pada 2022 hingga akhir 2025. Dalam periode ini, sikap terhadap model generatif di dunia kejahatan siber berubah secara signifikan.

Menurut studi, jika sebelumnya peretas membahas bagaimana neural network membantu menulis kode berbahaya atau mencari kerentanan, kini mereka lebih sering mengeluh tentang arus “AI-slope”: postingan tidak berguna dan panduan primitif tentang topik dasar.

Selain itu, beberapa peserta forum tidak senang karena jawaban LLM di hasil pencarian Google mengurangi lalu lintas ke platform mereka sendiri, yang berdampak negatif pada pemasaran platform peretas.

Namun, para peneliti tidak melihat pengaruh besar AI terhadap aktivitas penipu pemula. Saat ini, AI belum menurunkan ambang masuk bagi pemula dan belum menyebabkan perubahan besar dalam industri keamanan siber.

Kelompok peretas terkait Belarus menyerang lembaga pemerintah Ukraina

Pada Maret 2026, tercatat kampanye baru dari kelompok Ghostwriter (juga dikenal sebagai UNC1151 dan FrostyNeighbor), yang menargetkan struktur pemerintahan dan pertahanan Ukraina. Dilaporkan oleh peneliti ESET.

Kelompok Ghostwriter, yang mengkhususkan diri dalam spionase siber di Eropa Timur, dikaitkan dengan Belarus

Menurut para ahli, pelaku menyebarkan file PDF phishing yang meniru dokumen dari perusahaan “Ukrtelecom”. Tautan berbahaya dalam dokumen mengarah ke pengunduhan perangkat lunak PicassoLoader, yang kemudian mengaktifkan alat populer untuk serangan Cobalt Strike.

Peretas menggunakan pemeriksaan berdasarkan IP — arsip yang terinfeksi hanya diunduh jika korban berada di wilayah Ukraina.

Para peneliti menilai bahwa kelompok ini sangat “dewasa secara operasional”. PicassoLoader dapat mengirimkan “jejak” sistem ke server peretas setiap 10 menit. Berdasarkan data ini, operator Ghostwriter memutuskan apakah akan melanjutkan serangan terhadap target tertentu.

Berbeda dengan kampanye di Polandia atau Lithuania, di mana kelompok ini memilih berbagai target mulai dari logistik hingga medis, di Ukraina aktivitasnya difokuskan secara eksklusif pada sektor militer dan pemerintahan.

Peretas TeamPCP jual repositori Mistral AI

Kelompok peretas TeamPCP mengancam akan membocorkan kode sumber proyek Mistral AI jika tidak ada pembeli untuk data yang dicuri. Dilaporkan oleh BleepingComputer.

Mistral AI adalah perusahaan Prancis di bidang kecerdasan buatan, didirikan oleh mantan peneliti Google DeepMind dan Meta. Mereka fokus pada pengembangan LLM dengan bobot terbuka dan perangkat lunak proprietary.

Dalam pesan di forum peretas, pelaku meminta $25.000 untuk paket yang mencakup hampir 450 repositori.

Dalam pernyataan resmi kepada BleepingComputer, perwakilan Mistral AI mengonfirmasi kompromi sistem pengelolaan kode. Peretasan ini terjadi akibat serangan besar-besaran terhadap rantai pasokan perangkat lunak bernama Mini Shai-Hulud.

Mistral AI menyatakan bahwa data yang terpengaruh bukan bagian dari kode sumber utama.

Menurut informasi yang dipublikasikan, serangan ini berlangsung dalam beberapa tahap. Awalnya, pelaku mendapatkan akses ke paket resmi TanStack dan Mistral AI menggunakan kredensial CI/CD yang dicuri. Setelah itu, kampanye malware menyebar ke ratusan proyek di repositori npm dan PyPI, termasuk pengembangan UiPath, Guardrails AI, dan OpenSearch.

Mistral AI mengakui bahwa pelaku sempat menyisipkan kode berbahaya ke dalam beberapa SDK mereka untuk waktu singkat

Sumber: BleepingComputer. Kelompok TeamPCP mengklaim telah mengunduh hampir 5 GB data internal yang digunakan Mistral untuk pelatihan, penyesuaian (fine-tuning), pengujian perbandingan, dan eksperimen.

Peretas menyatakan akan merilis data tersebut secara terbuka jika tidak menemukan pembeli dalam waktu satu minggu.

Selain itu di ForkLog:

• Peretas mengeluarkan $10 juta dari THORChain.
• Aliansi Tether, TRON, dan TRM Labs membekukan aset kripto senilai $450 juta.
• Ethereum Foundation meluncurkan layanan perlindungan terhadap penandatanganan transaksi secara buta.
• CertiK menyatakan adanya “industrialisasi” pencurian kripto oleh Korea Utara.
• Akun Roaring Kitty diretas untuk dump token RKC.
• Google mencatat peningkatan popularitas AI di kalangan kejahatan siber.
• LayerZero mengakui kesalahan setelah peretasan Kelp senilai $292 juta.

Apa yang harus dibaca di akhir pekan?

Dalam materi baru ForkLog, dijelaskan bagaimana kontraktor utama perangkat lunak Kementerian Pertahanan AS dan perusahaan intelijen Palantir Technologies “menjamin keunggulan nyata Barat”.