Kelompok Hacker Konni Targetkan Engineer Blockchain dengan Malware Berbasis AI

Kelompok peretas asal Korea Utara yang dikenal sebagai Konni dilaporkan meluncurkan kampanye serangan baru yang menyasar pengembang dan engineer di sektor blockchain. Dalam serangan ini, Konni memanfaatkan malware PowerShell yang diduga dibangun dengan bantuan kecerdasan buatan, menandai eskalasi baru dalam teknik serangan siber terhadap lingkungan pengembangan kripto.

Konni, yang juga dikenal dengan nama Opal Sleet atau TA406, diyakini memiliki keterkaitan dengan klaster aktivitas APT37 dan Kimsuky. Kelompok ini telah aktif setidaknya sejak 2014 dan sebelumnya menargetkan organisasi di Korea Selatan, Rusia, Ukraina, serta sejumlah negara Eropa. Kampanye terbaru menunjukkan fokus kuat pada kawasan Asia-Pasifik, dengan sampel malware terdeteksi berasal dari Jepang, Australia, dan India.

Rantai serangan dimulai ketika korban menerima tautan yang dibagikan melalui platform komunikasi populer, yang mengarahkan ke arsip ZIP. Arsip tersebut berisi dokumen PDF sebagai umpan dan sebuah file shortcut berformat LNK yang bersifat berbahaya. Ketika file shortcut dijalankan, sistem akan mengeksekusi loader PowerShell tersembunyi yang kemudian mengekstrak dokumen DOCX serta sebuah arsip CAB berisi backdoor PowerShell, dua file batch, dan sebuah executable untuk melewati mekanisme kontrol akun pengguna.

Dokumen DOCX yang ditampilkan kepada korban berfungsi sebagai pengalih perhatian, sementara salah satu file batch dijalankan di latar belakang. File batch tersebut membuat direktori staging untuk backdoor dan file pendukung, sekaligus menjadwalkan tugas otomatis setiap jam yang menyamar sebagai proses startup layanan penyimpanan cloud. Tugas ini bertugas membaca skrip PowerShell terenkripsi XOR dari disk, mendekripsinya, lalu mengeksekusinya langsung di memori sebelum menghapus jejak eksekusi.

Analisis terhadap payload menunjukkan bahwa backdoor PowerShell tersebut mengalami obfuscation tingkat lanjut. Teknik yang digunakan mencakup encoding string berbasis aritmatika, rekonstruksi string saat runtime, serta eksekusi logika akhir melalui mekanisme evaluasi dinamis. Menurut peneliti, karakteristik kode ini sangat mengindikasikan penggunaan alat berbasis model bahasa besar dalam proses pengembangannya.

Indikasi penggunaan AI terlihat dari struktur kode yang rapi, dokumentasi yang jelas di bagian awal skrip, serta komentar instruktif yang lazim ditemukan pada skrip hasil generasi AI. Pola semacam ini jarang ditemukan pada malware yang ditulis secara manual oleh operator, sehingga memperkuat dugaan bahwa pelaku memanfaatkan teknologi AI untuk mempercepat dan menyempurnakan pengembangan malware.

Sebelum menjalankan aktivitas utama, malware melakukan serangkaian pemeriksaan lingkungan untuk mendeteksi apakah ia berjalan di sistem analisis atau sandbox. Pemeriksaan ini mencakup evaluasi perangkat keras, perangkat lunak, dan aktivitas pengguna. Setelah lolos dari tahap ini, malware membuat identitas unik untuk host dan menentukan jalur aksi berdasarkan tingkat hak akses yang dimiliki.

Setelah aktif sepenuhnya, backdoor akan secara berkala berkomunikasi dengan server command-and-control untuk mengirim metadata dasar sistem yang terinfeksi. Pada interval acak, malware memeriksa apakah server mengirimkan perintah tambahan berupa kode PowerShell, yang kemudian dieksekusi secara asinkron di latar belakang. Mekanisme ini memungkinkan penyerang menjalankan perintah lanjutan tanpa interaksi langsung dari korban.

Dokumen umpan yang digunakan dalam serangan mengindikasikan tujuan utama pelaku, yakni mengompromikan lingkungan pengembangan. Dengan akses tersebut, penyerang berpotensi mendapatkan kredensial API, akses ke infrastruktur, dompet kripto, hingga aset digital bernilai tinggi lainnya. Hal ini menjadikan engineer blockchain sebagai target strategis bernilai tinggi.

Para peneliti mengaitkan kampanye ini dengan Konni berdasarkan kesamaan pola eksekusi, format launcher, nama file umpan, serta struktur serangan yang sejalan dengan operasi sebelumnya. Indikator kompromi telah dipublikasikan untuk membantu organisasi dan profesional keamanan mendeteksi serta memitigasi ancaman ini lebih dini.

Kasus ini menunjukkan bahwa pemanfaatan AI dalam pengembangan malware bukan lagi sekadar konsep, melainkan sudah menjadi realitas di lapangan. Bagi industri blockchain dan pengembang perangkat lunak, temuan ini menjadi peringatan serius akan pentingnya keamanan berlapis, kewaspadaan terhadap file shortcut berbahaya, serta perlindungan ekstra pada lingkungan pengembangan.