GhostCall & GhostHire: Modus Loker Palsu Incar Pengguna Telegram
Uzone.id— Kaspersky kembalimengungkap aktivitas terbaru serangan siber dari kelompok APT BlueNoroff,serangan ini menyasar sektor Web3 dan aset kripto menggunakan modusGhostCalldanGhostHire. Kali ini targetnya adalah pengguna Telegram.
Diketahui dua modus serangan ini sudah berjalan sejak April2025 dan menargetkan organisasi di India, Turki, Australia, serta beberapanegara lain di Eropa dan Asia.
Target utama mereka adalah pengembang dan eksekutifblockchain, dan serangan ini menyasar perangkat berbasis macOS maupun Windowsmelalui infrastruktur komando yang terpusat.
Dalam kampanyeGhostCall, serangan dimulai lewatrekayasa sosial yang sangat personal. Pelaku menghubungi korban melaluiTelegram dan menyamar sebagai investor.
Bahkan, dalam beberapa kasus, mereka menggunakan akunwirausahawan atau pendiri startup sungguhan yang telah diretas, sehinggaterlihat sangat meyakinkan.
Korban kemudian diajak bergabung ke panggilan video palsumelalui situs phishing yang mirip Zoom atau Microsoft Teams. Saat panggilanberlangsung, korban diarahkan untuk melakukan “pembaruan” aplikasi, yangsebenarnya adalah skrip malware.
Dari sinilah malware masuk dan menyebar ke perangkatpengguna untuk kemudian mencuri data-data penting. Ada berbagai muatan malwareyang dimasukkan ke perangkat, termasuk pencuri kripto, keylogger, hinggapencuri kredensial di browser dan Telegram.
“Penyerang memutar ulang video korban sebelumnya selamapertemuan yang direkayasa agar interaksi tampak seperti panggilan sungguhan danmemanipulasi target baru,” kata Sojun Ryu, peneliti keamanan Kaspersky GReAT.
Ia melanjutkan, “Data yang dikumpulkan dalam proses inikemudian digunakan tidak hanya untuk melawan korban pertama, tetapi jugadieksploitasi untuk serangan selanjutnya dan serangan rantai pasokan,memanfaatkan hubungan kepercayaan yang telah terjalin untuk membahayakan lebihbanyak organisasi dan pengguna.”
Sementara itu,GhostHiremenargetkan pengembangblockchain melalui modus lowongan kerja palsu.
Pelaku berpura-pura menjadi perekrut dan mengirimkanrepositori GitHub yang ternyata mengandung malware. Setelah tahap awalkomunikasi, korban biasanya dimasukkan ke bot Telegram yang mengirimkan fileZIP atau tautan GitHub dengan tenggat pengerjaan yang singkat.
Begitu dijalankan, malware langsung menginstal dirinya danmenyesuaikan aktivitasnya dengan sistem operasi korban.
Canggihnya, mereka menggunakan AI Generatif agar malwaredapat dikembangkan lebih cepat, lebih fleksibel, dan lebih sulit dideteksikarena perubahan bahasa pemrograman serta fitur tambahan yang terus merekasisipkan.
“Penggunaan AI generatif telah mempercepat proses ini secarasignifikan, memungkinkan pengembangan malware yang lebih mudah dengan biayaoperasional lebih rendah,” ujar Omar Amin, peneliti keamanan senior diKaspersky GReAT.
BlueNoroff yang menjadi otak dibalik serangan ini sendirimerupakan bagian dari grup penjahat siber Lazarus yang sudah lama dikenalagresif dalam serangan siber bermotif finansial. Kampanye terbaru ini masihterkait dengan operasiSnatchCrypto, tetapi dengan teknik penyamaran danmalware yang jauh lebih canggih.
Untuk perlindungan, Kaspersky menyarankan organisasidisarankan untuk selalu memverifikasi identitas kontak, termasuk kemungkinanbahwa akun yang terlihat tepercaya pun bisa saja telah diretas. Semuakomunikasi sensitif sebaiknya dilakukan melalui saluran resmi perusahaan.