Perusahaan keamanan siber dan privasi digital global, Kaspersky lewat Tim Riset dan Analisis Global (GReAT) menemukan aktivitas terbaru kelompok peretas BlueNoroff yang kini memanfaatkan perangkat berbasis kecerdasan buatan (AI). Dalam aksi terbarunya kelompok ini disebut memperluas operasi spionase digital dengan menargetkan para petinggi dan pengembang di industri blockchain dan kripto baik pengguna macOS maupun Windows.
Temuan tersebut diungkap dalam forum Security Analyst Summit (SAS) 2025 yang berlangsung di Thailand 27-29 Oktober 2025. Dalam riset itu Kaspersky mengidentifikasi dua kampanye siber baru yang sangat tertarget, yakni GhostCall dan GhostHire. Serangan ini telah menyasar organisasi Web3 di India, Turki, Australia, dan sejumlah negara di Eropa serta Asia sejak April 2025.
BlueNoroff dikenal sebagai subkelompok dari Lazarus Group, salah satu entitas siber paling aktif dan berbahaya di dunia. Kelompok ini sebelumnya menjalankan operasi SnatchCrypto, kampanye bermotif finansial yang menargetkan industri kripto global.
Peneliti keamanan siber di Kaspersky GReAT, Sojun Ryu, mengatakan berbeda dari serangan sebelumnya, aktivitas lewat GhostCall dan GhistHire menunjukkan peningkatan kemampuan. Pengembangan dilakukan baik dalam hal rekayasa sosial maupun penggunaan AI untuk mengembangkan malware baru.
Dalam operasi GhostCall, BlueNoroff menargetkan pengguna macOS dengan pendekatan personal melalui Telegram dan menyamar sebagai pemodal ventura. Dalam beberapa kasus, mereka bahkan menggunakan akun pendiri startup asli yang telah diretas untuk menawarkan peluang investasi palsu.
Korban kemudian diarahkan ke situs phishing yang meniru platform konferensi video seperti Zoom atau Microsoft Teams. Selama “pertemuan” berlangsung, korban diminta memperbarui aplikasi mereka untuk memperbaiki masalah audio. Padahal, pembaruan itu memicu pengunduhan skrip berbahaya yang menginfeksi sistem.
“Kampanye ini mengandalkan penipuan yang disengaja dan terencana dengan cermat. Penyerang memutar ulang video korban sebelumnya agar interaksi tampak seperti panggilan sungguhan dan memanipulasi target baru,” ujar Sojun seperti dikutip Selasa (28/10).
Menurut Sojun, data yang dikumpulkan dalam proses ini kemudian digunakan tidak hanya untuk melawan korban pertama, tetapi juga dimanfaatkan dalam serangan rantai pasokan berikutnya. Serangan GhostCall memanfaatkan rantai eksekusi tujuh tahap untuk memasang berbagai jenis malware, seperti pencuri kripto, pencuri kredensial peramban, keylogger, dan pencuri data Telegram.
Modus serangan siber (Katadata) Modus Rekrutmen Palsu
Sementara itu, kampanye GhostHire menargetkan pengembang blockchain melalui modus rekrutmen palsu. Peneliti siber senior di Kaspersky GReAT Omar Amin menjelaskan penyerang menyamar sebagai perekrut, lalu mengirimkan tautan repositori GitHub berisi malware yang disamarkan sebagai tes keterampilan.
Setelah dijalankan, malware secara otomatis menyesuaikan diri dengan sistem operasi korban dan menanamkan diri di perangkat mereka. Kedua kampanye ini berbagi infrastruktur perintah dan kontrol yang sama.
Kaspersky mencatat, penggunaan AI generatif memungkinkan BlueNoroff mempercepat pengembangan malware, menyempurnakan teknik infiltrasi, dan menurunkan biaya operasional serangan. AI juga membantu pelaku menyusun pesan yang lebih meyakinkan serta mengidentifikasi target dengan presisi lebih tinggi.
“Penggunaan AI generatif telah mempercepat pengembangan malware dengan biaya lebih rendah. Dengan menggabungkan data yang disusupi dan kemampuan analitis AI, cakupan serangan BlueNoroff kini meluas,” kata Omar.
Atas serangan siber terbaru ini, Kaspersky merekomendasikan agar organisasi berhati-hati terhadap penawaran investasi atau peluang kerja yang mencurigakan, terutama yang dikirim melalui Telegram, LinkedIn, atau platform sosial lainnya. Verifikasi identitas kontak, hindari membuka tautan tidak dikenal, dan gunakan solusi keamanan terpadu seperti Kaspersky Next yang menawarkan perlindungan waktu nyata dan visibilitas ancaman siber.
“Kami berharap penelitian ini dapat membantu mencegah kerusakan lebih lanjut,” ujar Omar.
Adapun GReAT merupakan divisi utama Kaspersky yang bertugas mengungkap serangan siber tingkat lanjut, spionase digital, ransomware, dan tren kejahatan siber global. Tim ini beranggotakan lebih dari 35 pakar yang tersebar di Eropa, Rusia, Asia, Timur Tengah, dan Amerika Latin.
CEO Kaspersky, Eugene Kaspersky mengatakan forum SAS merupakan bentuk komitmen para praktisi di bidang keamanan digital untuk memerangi malware dan spionase. Kegiatan dihadiri lebih dari 100 praktisi keamanan digital dari berbagai negara tidak hanya dari perusahaan swasta tetapi juga dari unsur pemerintah.
“Kita tidak hanya melihat apa yang terjadi tetapi kita perlu menjadi bagian untuk melindungi, memprediksi dan membangun perlindungan untuk komunitas,” ujar Eugene dalam forum.
Sejak berdiri, GReAT menjadi ujung tombak inovasi dan riset keamanan siber Kaspersky sebagai perusahaan global yang berdiri sejak 1997 dan telah melindungi lebih dari satu miliar perangkat di seluruh dunia. Dengan portofolio yang mencakup perlindungan digital personal, layanan keamanan korporasi, hingga solusi Cyber Immune, Kaspersky terus memperkuat perannya dalam menghadapi ancaman siber yang kian kompleks.