Hacker Korea Utara Gunakan Malware macOS Baru untuk Curi Aset Kripto

Kelompok peretas asal Korea Utara kembali melancarkan kampanye terarah terhadap sektor kripto dengan memanfaatkan malware baru untuk macOS dan Windows. Dalam serangan terbaru, pelaku menggunakan teknik social engineering canggih, termasuk video deepfake berbasis AI dan metode ClickFix, untuk menginfeksi korban.

Peneliti dari Google Mandiant mengaitkan kampanye ini dengan grup ancaman UNC1069, yang telah mereka pantau sejak 2018. Tujuan utama serangan dinilai bersifat finansial, dengan fokus pada pencurian aset kripto serta pengumpulan data untuk operasi lanjutan.

Skema Serangan: Deepfake dan ClickFix

Serangan diawali dengan pendekatan sosial melalui Telegram. Korban dihubungi dari akun eksekutif perusahaan kripto yang telah dikompromikan. Setelah membangun kepercayaan, pelaku mengirim tautan Calendly yang mengarah ke halaman Zoom palsu yang di-host di infrastruktur milik penyerang.

Saat “rapat” berlangsung, korban ditampilkan video deepfake CEO perusahaan kripto lain untuk memperkuat legitimasi pertemuan. Di tengah sesi, pelaku berpura-pura mengalami gangguan audio dan meminta korban menjalankan perintah tertentu dari halaman web sebagai langkah troubleshooting.

Perintah tersebut tersedia untuk sistem Windows dan macOS, dan menjadi titik awal rantai infeksi.

Metode serupa sebelumnya pernah dilaporkan pada 2025 dan dikaitkan dengan kelompok BlueNoroff, yang juga berafiliasi dengan aktor ancaman Korea Utara.

Tujuh Keluarga Malware macOS

Setelah korban menjalankan perintah tersebut, peneliti menemukan eksekusi AppleScript yang diikuti dengan penyebaran file Mach-O berbahaya. Dalam tahap berikutnya, tujuh keluarga malware berbeda dijalankan pada sistem korban:

WAVESHAPER
Backdoor berbasis C++ yang berjalan sebagai daemon latar belakang, mengumpulkan informasi sistem, berkomunikasi dengan server C2 melalui HTTP/HTTPS, serta mengunduh payload lanjutan.

HYPERCALL
Downloader berbasis Golang yang membaca konfigurasi terenkripsi RC4, terhubung ke C2 melalui WebSocket pada port 443, lalu mengunduh pustaka dinamis berbahaya dan memuatnya langsung ke memori.

HIDDENCALL
Backdoor berbasis Golang yang diinjeksikan oleh HYPERCALL dan memungkinkan akses hands-on keyboard, eksekusi perintah, manipulasi file, serta penyebaran malware tambahan.

SILENCELIFT
Backdoor ringan berbasis C/C++ yang mengirim informasi sistem dan status layar terkunci ke server C2. Dengan hak root, malware ini dapat mengganggu komunikasi Telegram korban.

DEEPBREATH
Pencuri data berbasis Swift yang memodifikasi basis data TCC macOS untuk melewati perlindungan privasi. Malware ini mencuri kredensial Keychain, data browser, data Telegram, serta catatan Apple Notes.

SUGARLOADER
Downloader berbasis C++ dengan konfigurasi RC4 terenkripsi. Malware ini dipertahankan melalui launch daemon yang dibuat manual agar tetap aktif setelah reboot.

CHROMEPUSH
Pencuri data browser berbasis C++ yang menyamar sebagai ekstensi Google Docs Offline melalui mekanisme Chromium native messaging host. Malware ini mengumpulkan penekanan tombol (keystroke), kredensial, cookie, serta dapat mengambil tangkapan layar.

Dari seluruh malware yang ditemukan, SUGARLOADER memiliki deteksi paling banyak di platform pemindaian malware, sementara WAVESHAPER hanya terdeteksi oleh dua produk keamanan. Beberapa varian lain bahkan belum tercatat dalam basis data publik.

Peneliti menilai penggunaan tujuh keluarga malware sekaligus pada satu target sebagai hal yang tidak biasa. Hal ini menunjukkan operasi yang sangat terarah dan berorientasi pada pengumpulan data secara maksimal.

Target: Industri Web3 dan Layanan Keuangan

Sejak 2018, UNC1069 terus berevolusi dalam teknik dan target. Pada 2023, kelompok ini berfokus pada industri Web3, termasuk exchange terpusat, pengembang, serta dana ventura.

Dalam setahun terakhir, sasaran bergeser ke sektor layanan keuangan dan infrastruktur kripto, seperti sistem pembayaran, perusahaan broker, dan penyedia dompet digital.

Menurut analisis Mandiant, tujuan kampanye ini bukan hanya pencurian kripto, tetapi juga pengumpulan data identitas korban untuk mendukung serangan social engineering lanjutan di masa depan.

Kombinasi deepfake berbasis AI, rekayasa sosial, serta malware multi-tahap menunjukkan tingkat profesionalisme dan investasi tinggi dalam operasi ini—sekaligus menjadi peringatan bagi perusahaan kripto dan fintech untuk meningkatkan kewaspadaan terhadap ancaman terarah berbasis macOS.