Beranda / hacker

Bagaimana Deepfake ID dan Skrip Obfuscated Mengelabui Antivirus

webmaster

Hacker Memakai AI (ChatGPT) untuk Menyusup: Bagaimana Deepfake ID dan Skrip Obfuscated Mengelabui Antivirus — dan Apa yang Harus Dilakukan Tim Keamanan

artikel berdasarkan laporan oleh Tushar Subhra Dutta

Di pertengahan Juli 2025 muncul kampanye siber baru yang menggabungkan dua kekuatan: generative AI untuk membuat bahan social-engineering yang sangat meyakinkan (deepfake kartu identitas), dan teknik obfuscation klasik untuk menyembunyikan tindakan berbahaya sampai terlambat — sehingga banyak produk antivirus tradisional kesulitan mendeteksinya. Laporan awal yang mengungkap modus ini diterbitkan oleh Cyber Security News dan dianalisis oleh beberapa media lain.


Inti Kasus: apa yang terjadi?

Pelaku, yang diatribusikan ke grup APT bernama Kimsuky, mengirimkan spear-phishing email yang menyamar sebagai permintaan draft review untuk kartu identitas (militer/instansi). Email berisi tautan atau lampiran Government_ID_Draft.zip — di dalamnya terdapat file shortcut Government_ID_Draft.lnk. Saat korban membuka shortcut tersebut, cmd.exe dipanggil untuk menyimpan string panjang ke dalam environment variable, lalu character slicing membangun ulang perintah PowerShell yang berbahaya secara bertahap. Script kemudian mengunduh dua komponen utama: gambar deepfake (PNG) yang berfungsi sebagai bujukan visual, dan batch script yang menjalankan tahap berikutnya.

Teknik obfuscation yang dipakai — environment-variable slicing, AutoIt yang dikompilasi, dan varian sederhana cipher (mis. Vigenère) — membuat analisis statis sulit dan menunda munculnya tanda-tanda berbahaya sampai payload siap dijalankan. Untuk mempertahankan persistensi, binary yang diunduh kemudian mendaftarkan scheduled task bernama HncAutoUpdateTaskMachine (menyamar sebagai update Hancom Office), sehingga tugas berbahaya berjalan berkala di mesin korban.

Mengapa ini mengkhawatirkan

  1. AI menajamkan social engineering. Deepfake ID yang dihasilkan oleh model LLM/vision dapat membuat email phishing terlihat sangat meyakinkan — menurunkan kecurigaan pengguna.
  2. Deteksi signature jadi kurang efektif. Karena payload dan perintah dibuat ulang secara dinamis, tidak ada “hash” atau tanda statis yang mudah dicari.
  3. Hybrid attack model. Kombinasi aset AI (gambar/dokumen palsu) + teknik lama (shortcut, scheduled task, obfuscation) menghasilkan serangan yang sulit dideteksi oleh solusi antivirus sederhana.

Rekomendasi praktis untuk tim keamanan (checklist)

Berikut langkah konkret yang bisa langsung diterapkan oleh SOC, IT, dan manajemen risiko:

Teknis / Endpoint

  • Terapkan EDR (Endpoint Detection & Response) dengan kemampuan deteksi perilaku skrip (PowerShell, cmd, AutoIt) — pantau eksekusi cmd.exe yang memanggil skrip dari environment variables dan pembuatan scheduled tasks.
  • Blokir/monitor pembuatan shortcut (.lnk) dari email/lampiran di environment sensitif; atur kebijakan untuk memperlakukan .lnk dalam lampiran sebagai high-risk.
  • Nonaktifkan atau batasi penggunaan PowerShell/command prompt untuk user yang tidak perlu; gunakan Constrained Language Mode dan logging module (Script Block Logging).
  • Gunakan deteksi anomali jaringan untuk menemukan komunikasi ke C2 (command-and-control) server, terutama pola HTTP yang tidak biasa atau pengunduhan sumber daya asing.

Proses / Kebijakan

  • Terapkan Zero Trust untuk dokumen dan lampiran: verifikasi sumber, sandboxing lampiran, dan preview aman sebelum membuka file di mesin produksi.
  • Hardening: matikan scheduled tasks yang dibuat tanpa change request; audit rutin task scheduler.
  • Simulasikan skenario spear-phishing dengan bahan berbasis AI untuk mengukur kesiapan user (phishing table-top & red-team).

Manusia / Edukasi

  • Latih karyawan untuk mengenali tanda-tanda deepfake (metadata gambar, ketidakkonsistenan visual, permintaan review “draft” yang tidak biasa).
  • Sosialisasi kebijakan pelaporan insiden: jika ragu, laporkan dan jangan buka lampiran di perangkat utama.

Langkah lanjutan & strategi jangka panjang

  • Investasi ke threat intelligence yang memetakan taktik, teknik, dan prosedur (TTP) aktor seperti Kimsuky; gunakan intel untuk menulis deteksi khusus.
  • Pertimbangkan automated response playbooks: isolasi endpoint saat deteksi perilaku berbahaya tercatat (mis. scheduled task baru + koneksi outbound mencurigakan).
  • Evaluasi model AI/ML di defensive stack: adversarial testing dan adversarial training untuk robust detection terhadap malware yang berusaha mengelabui model.

Kesimpulan

Kampanye Juli 2025 ini adalah pengingat: AI bukan hanya alat produktif — ia juga senjata ketika digunakan oleh aktor jahat. Pertahanan yang bergantung pada basis signature saja sudah usang; organisasi harus menggabungkan EDR, analisis perilaku, kebijakan hardening, dan edukasi manusia untuk menutup celah social-engineering yang kini diperkuat oleh generative AI.