Security

Kelompok Hacker “GreyVibe” Manfaatkan ChatGPT dan Gemini untuk Perkuat Serangan Siber

6 hours ago
4 minutes read

Perusahaan keamanan siber WithSecure merilis laporan forensik mengenai aktivitas GreyVibe, sebuah kelompok peretas yang diduga kuat berbasis di Rusia. Kelompok ini memanfaatkan efisiensi kecerdasan buatan (AI) generatif seperti ChatGPT, Google Gemini, dan Ideogram AI untuk memproduksi umpan rekayasa sosial (phishing lures) berkualitas tinggi serta membantu pengembangan ekosistem malware kustom berskala masif.

Aktif setidaknya sejak Agustus 2025, kampanye spionase siber (cyberespionage) ini secara agresif membidik entitas di sektor militer, pemerintahan, sipil, hingga korporasi swasta yang berfokus di Ukraina atau organisasi internasional yang terafiliasi dengan Ukraina.

Meskipun rekam jejak sirkuit kontrolnya selaras dengan kepentingan geopolitik Rusia—termasuk penggunaan bahasa Rusia pada panel malware, komentar di dalam baris kode, serta konfigurasi server Command-and-Control (C2) yang disetel pada zona waktu UTC+3 (Waktu Moskow)—analis keamanan belum bisa mengategorikannya sebagai kelompok murni bentukan negara (nation-state). Karakteristik operasinya justru mengarah pada struktur hibrida yang melibatkan mantan aktor kriminal siber (cybercriminals).

5 Rantai Serangan Siber Multi-Platform GreyVibe

GreyVibe menunjukkan diversifikasi taktik yang sangat kaya dengan menggelar lima arsitektur rantai serangan (attack chains) berbeda untuk menjaring korbannya:

1. PhantomMail (Spear-Phishing)

Metode serangan konvensional yang mengirimkan email umpan spesifik dengan menyisipkan tautan Google Drive atau 4sync. Tautan tersebut mengarah pada berkas arsip berbahaya (ZIP/RAR) yang menyamar sebagai dokumen PDF darurat atau notifikasi eror sistem dari instansi pemerintah, telekomunikasi, dan sektor energi Ukraina.

2. PhantomClick (Teknik ClickFix)

Skema penipuan yang memalsukan halaman verifikasi CAPTCHA atau petunjuk perbaikan mandiri (ClickFix) berkedok layanan Cloudflare, Zoom, dan LAPAS. Korban dipancing untuk menyalin dan menjalankan perintah terminal (self-infecting commands) secara manual di komputer mereka yang berujung pada infeksi sistem otomatis.

3. PrincessClub (Situs Kencan Palsu & Spyware)

Operasi rekayasa sosial yang menggunakan situs kencan dan konten dewasa palsu Ukraina. Aktor pengancam membuat persona wanita palsu di Telegram untuk mendekati korban. Mereka bahkan mengimplementasikan fitur panggilan video/suara langsung berbasis WebRTC untuk merekam audio dan visual korban demi kebutuhan pemerasan atau intelijen. Saluran ini digunakan untuk mendistribusikan spyware Android FallSpy dan malware Windows.

Situs web penggalangan dana amal militer palsu yang mengusung tema pengadaan drone FPV (First-Person Shooter) dan pesawat tanpa awak (UAV) untuk tentara Ukraina. Situs ini berbagi infrastruktur server dan alat peretasan yang sama dengan kampanye PrincessClub.

5. Nebo (Terminal Militer Tiruan)

Halaman login palsu yang meniru sistem komunikasi militer resmi Rusia bernama “СПО НЕБО”. Umpan ini dirancang khusus untuk mengelabui personel militer Ukraina agar percaya bahwa mereka berhasil mengakses atau membobol terminal komunikasi internal militer Rusia.

Optimalisasi AI: Dari Narasi Umpan hingga Obfuscator Kode

Daya tarik utama dari operasi GreyVibe adalah kualitas narasi dan visual penipuan mereka yang sangat rapi. Menurut WithSecure, hal ini terjadi karena kelompok tersebut memanfaatkan alat LLM (Large Language Model) komersial seperti ChatGPT dan Google Gemini untuk menyusun teks umpan yang persuasif, minim kesalahan tata bahasa, serta kontekstual. Mereka juga menggunakan Ideogram AI untuk menghasilkan aset gambar digital yang memiliki penanda (markers) khas visual AI.

Tidak hanya untuk teks, pemanfaatan AI juga merambah ke sektor rekayasa perangkat lunak. Peneliti mendeteksi bahwa jajaran alat pengabur kode (custom obfuscators) milik mereka, seperti LOOKVALPS, LOOKVALJS, DAYLIGHT, dan TEASOUP, dikembangkan dengan bantuan instruksi kode dari LLM.

Persenjataan Malware: Dua PowerPoint RAT dan Spyware Android

Ekosistem malware yang dikerahkan oleh GreyVibe berfokus penuh pada pencurian informasi sensitif (data exfiltration) dan pemantauan aktivitas korban:

  • LegionRelay (PowerShell RAT): Trojan akses jarak jauh berbasis skrip PowerShell yang diduga kuat dirancang dengan bantuan asisten AI. Malware ini memiliki kapabilitas untuk mencuri berkas dokumen, mengambil tangkapan layar (screenshots), menguras kredensial data yang tersimpan di browser web, menyedot basis data aplikasi pesan instan Telegram dan WhatsApp, hingga membuka jalur akses kendali jarak jauh via RDP (Remote Desktop Protocol).
  • PhantomRelay (PowerShell RAT): Varian RAT lain yang bertugas melakukan pemetaan spesifikasi sistem korban (system fingerprinting), memuat skrip berbahaya tambahan secara dinamis dari server C2, serta mengeksekusi perintah Windows Command Prompt dari jarak jauh.
  • FallSpy (Android Spyware): Disebarkan khusus pada kampanye berbasis ponsel pintar (PrincessClub dan Nebo) untuk memata-matai target. Spyware ini melahap data daftar kontak, log panggilan telepon, informasi jaringan dan kartu SIM, pelacakan lokasi GPS secara berkala, hingga pencurian file media (foto/video) di dalam penyimpanan ponsel.

Karakteristik Kelompok: Struktur Hibrida Mantan Anggota TrickBot

Meskipun target dan modus operasinya selaras dengan misi spionase negara, WithSecure menemukan sejumlah anomali yang menunjukkan bahwa GreyVibe tidak memiliki tingkat disiplin operasional atau kecanggihan teknis yang biasa dimiliki oleh unit siber resmi militer (matured nation-state actors).

Beberapa bukti kecerobohan dan rekam jejak kriminal yang ditemukan meliputi:

  1. Kebocoran File Uji Coba: Para peretas kedapatan mengunggah file sampel malware yang masih dalam tahap pengembangan dan uji coba ke platform pemindaian publik (seperti VirusTotal), sebuah tindakan tabu dalam protokol spionase negara karena dapat merusak efektivitas serangan.
  2. Pemasangan Crypto Miner: Di beberapa komputer korban yang berhasil dikuasai, kelompok ini justru memasang program penambang mata uang kripto (cryptocurrency miner) untuk mencari keuntungan finansial pribadi berskala kecil.
  3. Afiliasi Geng TrickBot: Sampel awal pengujian GreyVibe terdeteksi menggunakan alat pembuat file ISO (ISO builder) unik yang identik dengan milik UAC-0098—sebuah kelompok yang berisikan mantan anggota geng malware finansial legendaris, TrickBot, yang beralih menyerang Ukraina sejak awal invasi Rusia.

Para peneliti menyimpulkan bahwa GreyVibe kemungkinan besar merupakan kelompok hibrida: entah mantan peretas kriminal yang direkrut dan dilebur ke dalam unit siber negara, kelompok independen yang bekerja berdasarkan pesanan/kontrak target dari pemerintah, atau tim gabungan yang sengaja memadukan aktor kriminal untuk menyamarkan keterlibatan resmi negara (plausible deniability).

Sumber: WithSecure

Tags
6 hours ago
4 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button