GhostCall & GhostHire: Modus Loker Palsu Incar Pengguna Telegram

Uzone.id — Kaspersky kembali mengungkap aktivitas terbaru serangan siber dari kelompok APT BlueNoroff, serangan ini menyasar sektor Web3 dan aset kripto menggunakan modus GhostCall dan GhostHire. Kali ini targetnya adalah pengguna Telegram.

Diketahui dua modus serangan ini sudah berjalan sejak April 2025 dan menargetkan organisasi di India, Turki, Australia, serta beberapa negara lain di Eropa dan Asia.

Target utama mereka adalah pengembang dan eksekutif blockchain, dan serangan ini menyasar perangkat berbasis macOS maupun Windows melalui infrastruktur komando yang terpusat.

Dalam kampanye GhostCall, serangan dimulai lewat rekayasa sosial yang sangat personal. Pelaku menghubungi korban melalui Telegram dan menyamar sebagai investor. 

Bahkan, dalam beberapa kasus, mereka menggunakan akun wirausahawan atau pendiri startup sungguhan yang telah diretas, sehingga terlihat sangat meyakinkan. 

Korban kemudian diajak bergabung ke panggilan video palsu melalui situs phishing yang mirip Zoom atau Microsoft Teams. Saat panggilan berlangsung, korban diarahkan untuk melakukan “pembaruan” aplikasi, yang sebenarnya adalah skrip malware.

Dari sinilah malware masuk dan menyebar ke perangkat pengguna untuk kemudian mencuri data-data penting. Ada berbagai muatan malware yang dimasukkan ke perangkat, termasuk pencuri kripto, keylogger, hingga pencuri kredensial di browser dan Telegram.

“Penyerang memutar ulang video korban sebelumnya selama pertemuan yang direkayasa agar interaksi tampak seperti panggilan sungguhan dan memanipulasi target baru,” kata Sojun Ryu, peneliti keamanan Kaspersky GReAT.

Ia melanjutkan, “Data yang dikumpulkan dalam proses ini kemudian digunakan tidak hanya untuk melawan korban pertama, tetapi juga dieksploitasi untuk serangan selanjutnya dan serangan rantai pasokan, memanfaatkan hubungan kepercayaan yang telah terjalin untuk membahayakan lebih banyak organisasi dan pengguna.”

Sementara itu, GhostHire menargetkan pengembang blockchain melalui modus lowongan kerja palsu. 

Pelaku berpura-pura menjadi perekrut dan mengirimkan repositori GitHub yang ternyata mengandung malware. Setelah tahap awal komunikasi, korban biasanya dimasukkan ke bot Telegram yang mengirimkan file ZIP atau tautan GitHub dengan tenggat pengerjaan yang singkat. 

Begitu dijalankan, malware langsung menginstal dirinya dan menyesuaikan aktivitasnya dengan sistem operasi korban. 

Canggihnya, mereka menggunakan AI Generatif agar malware dapat dikembangkan lebih cepat, lebih fleksibel, dan lebih sulit dideteksi karena perubahan bahasa pemrograman serta fitur tambahan yang terus mereka sisipkan. 

“Penggunaan AI generatif telah mempercepat proses ini secara signifikan, memungkinkan pengembangan malware yang lebih mudah dengan biaya operasional lebih rendah,” ujar Omar Amin, peneliti keamanan senior di Kaspersky GReAT. 

BlueNoroff yang menjadi otak dibalik serangan ini sendiri merupakan bagian dari grup penjahat siber Lazarus yang sudah lama dikenal agresif dalam serangan siber bermotif finansial. Kampanye terbaru ini masih terkait dengan operasi SnatchCrypto, tetapi dengan teknik penyamaran dan malware yang jauh lebih canggih. 

Untuk perlindungan, Kaspersky menyarankan organisasi disarankan untuk selalu memverifikasi identitas kontak, termasuk kemungkinan bahwa akun yang terlihat tepercaya pun bisa saja telah diretas. Semua komunikasi sensitif sebaiknya dilakukan melalui saluran resmi perusahaan.