Korea Utara Ditandai untuk Kampanye Malware Crypto Canggih yang Menargetkan Sektor Fintech

Para peneliti keamanan di divisi Mandiant Google Cloud telah mengungkap operasi siber terkoordinasi yang terkait dengan Korea Utara yang secara agresif menargetkan perusahaan cryptocurrency dan fintech. Kelompok ancaman, yang diberi nama UNC1069, menunjukkan peningkatan aktivitas yang cukup besar sejak pertama kali terdeteksi pada 2018, kini menggunakan berbagai alat berbahaya yang dikombinasikan dengan teknik rekayasa sosial canggih untuk menembus target bernilai tinggi di ruang aset digital.

Kelompok Ancaman UNC1069 - Operasi Berkelanjutan Terkait Korea Utara

Investigasi Mandiant mengungkapkan kampanye intrusi yang dirancang dengan sangat matang yang memperkenalkan rangkaian lengkap alat serangan baru yang diidentifikasi. Operasi ini menunjukkan evolusi kemampuan siber Korea Utara, dengan para peneliti mengonfirmasi penggunaan tujuh keluarga malware berbeda yang dirancang khusus untuk kampanye ini. Menurut penilaian ancaman mendetail dari Mandiant, aktivitas ini menandai perluasan signifikan dari operasi sebelumnya kelompok tersebut, menunjukkan investasi berkelanjutan dalam pengembangan infrastruktur serangan yang canggih yang menargetkan sektor fintech.

Tujuh Keluarga Malware Dirancang untuk Eksfiltrasi Data

Perangkat malware baru yang ditemukan meliputi SILENCELIFT, DEEPBREATH, dan CHROMEPUSH—tiga varian yang sangat berbahaya yang dirancang untuk mengatasi pertahanan keamanan modern. CHROMEPUSH dan DEEPBREATH secara khusus dikembangkan untuk menghindari perlindungan sistem operasi penting dan mengumpulkan informasi pribadi sensitif dari sistem yang telah dikompromikan. Alat ini merupakan kemajuan signifikan dalam kemampuan teknis Korea Utara, memungkinkan penyerang mengekstrak data host dan kredensial korban sambil menghindari mekanisme deteksi endpoint tradisional.

Taktik Rekayasa Sosial Berbasis AI dan ClickFix

Selain penyebaran malware mentah, operasi yang terkait Korea Utara ini memanfaatkan taktik rekayasa sosial canggih yang menggabungkan teknologi AI dengan metode phishing tradisional. Kampanye ini memanfaatkan akun Telegram yang telah dikompromikan untuk membangun kepercayaan palsu dengan target, kemudian meningkat ke tahap mengatur pertemuan Zoom palsu yang menampilkan video deepfake yang dihasilkan AI dari individu yang sah. Korban kemudian dimanipulasi untuk menjalankan perintah tersembunyi melalui serangan ClickFix—teknik yang menipu pengguna agar menjalankan kode berbahaya yang disamarkan sebagai perbaikan sistem atau prompt keamanan yang sah. Pendekatan berlapis ini yang menggabungkan kecerdasan buatan, pencurian kredensial, dan psikologi menunjukkan bagaimana aktor ancaman berkembang melampaui kampanye malware tradisional.