Google Temukan Malware Generasi Baru yang Memanfaatkan AI Secara Aktif di Dunia Nyata

Tim Intelijen Ancaman Google (Google Threat Intelligence Group/GTIG) melaporkan adanya pergeseran besar dalam dunia kejahatan siber pada 2025. Para pelaku kini mulai memanfaatkan kecerdasan buatan (AI) untuk menciptakan keluarga malware baru yang mampu menyesuaikan diri secara dinamis selama proses eksekusi.

Pendekatan baru ini memungkinkan malware melakukan perubahan kode real-time di tengah eksekusi, memberikan tingkat fleksibilitas operasional yang sebelumnya mustahil dicapai oleh malware tradisional. Google menyebut teknik ini sebagai “just-in-time self-modification”, dengan dua contoh utama yakni PromptFlux dan PromptSteal (alias LameHug)—malware yang dikaitkan dengan serangan di Ukraina.

PromptFlux: Malware yang “Berpikir Sendiri”

PromptFlux merupakan dropper berbasis VBScript yang menggunakan model bahasa besar (LLM) Google Gemini untuk menghasilkan varian skrip obfuskatif baru. Malware ini mencoba bertahan dengan menanamkan dirinya di folder Startup, serta menyebar melalui removable drives dan network shares.

“Komponen paling inovatif dari PROMPTFLUX adalah modul ‘Thinking Robot’, yang secara berkala meminta Gemini menghasilkan kode baru guna menghindari deteksi antivirus,” ungkap peneliti Google.

Google menemukan indikasi bahwa pembuatnya tengah bereksperimen menciptakan skrip metamorfik yang terus berkembang. Meskipun masih dalam tahap awal dan belum menyebabkan kerusakan serius, Google telah menonaktifkan akses PromptFlux ke API Gemini serta menghapus seluruh aset yang terkait.

Malware AI Lain yang Ditemukan

Selain PromptFlux, GTIG juga menemukan beberapa malware bertenaga AI lainnya, antara lain:

• FruitShell — PowerShell reverse shell yang memungkinkan akses jarak jauh dan eksekusi perintah di komputer korban.
• QuietVault — JavaScript credential stealer yang menargetkan token GitHub dan NPM, serta mencuri kredensial menggunakan repositori publik yang dibuat secara dinamis.
• PromptLock — Ransomware eksperimental berbasis skrip Lua yang mampu mengenkripsi dan mencuri data di Windows, macOS, maupun Linux.

Penyalahgunaan AI oleh Aktor Negara

Google juga mencatat berbagai kasus penyalahgunaan Gemini oleh kelompok peretas yang didukung negara.

• APT41 (Tiongkok) menggunakan Gemini untuk membantu pengembangan kode dan memperkuat kerangka kerja C2 OSSTUN.
• APT42 (Iran) memanfaatkan AI untuk pembuatan umpan phishing, analisis data, dan konversi perintah bahasa alami ke SQL.
• Masan dan Pukchong (Korea Utara) menggunakan Gemini untuk pencurian kripto, phishing multibahasa, hingga pembuatan deepfake lures.

Dalam setiap kasus, Google segera menonaktifkan akun terkait serta memperkuat mekanisme keamanan model agar lebih sulit disalahgunakan.

Pasar Gelap Alat Kejahatan Berbasis AI Kian Tumbuh

GTIG menemukan meningkatnya minat terhadap layanan dan alat AI berbahaya di forum bawah tanah berbahasa Inggris dan Rusia. Produk-produk ini dipasarkan dengan gaya menyerupai promosi alat AI sah, menawarkan kemudahan untuk membuat deepfake, mengembangkan malware, melakukan phishing, dan mengeksploitasi kerentanan.

Beberapa pengembang bahkan menyediakan akses API dan Discord berbayar untuk fitur lanjutan, menandakan bahwa pasar cybercrime-as-a-service kini bergerak ke arah otomasi berbasis AI.

Google menegaskan bahwa setiap pengembang AI harus mengadopsi pendekatan yang “berani sekaligus bertanggung jawab”, dengan sistem yang dirancang memiliki guardrail keamanan kuat guna mencegah dan menghambat penyalahgunaan. Perusahaan juga menyatakan akan terus bekerja sama dengan penegak hukum dan memanfaatkan pengalaman menghadapi ancaman untuk meningkatkan keamanan ekosistem AI mereka.