Transparent Tribe Gunakan AI untuk Produksi Massal Malware Menyerang India

Kelompok ancaman yang berafiliasi dengan Pakistan, Transparent Tribe, semakin mengintensifkan serangan siber mereka dengan memanfaatkan artificial intelligence (AI) untuk menghasilkan malware secara massal dan cepat. Kampanye ini menargetkan lembaga pemerintahan India dan kedutaan besarnya di berbagai negara, serta beberapa target lain seperti pemerintah Afghanistan dan sektor swasta.

Peralihan Strategi: Dari Teknik Rumit ke Produksi Massal Malware dengan AI

Menurut riset terbaru dari Bitdefender, Transparent Tribe menggunakan AI untuk menciptakan sejumlah besar implant malware yang disebut "vibeware" atau malware yang dikodekan menggunakan bahasa pemrograman yang kurang umum seperti Nim, Zig, dan Crystal. Malware ini memanfaatkan layanan terpercaya seperti Slack, Discord, Supabase, dan Google Sheets sebagai infrastruktur Command and Control (C2) agar bisa menyusup tanpa terdeteksi oleh sistem keamanan tradisional.

"Alih-alih peningkatan dalam kecanggihan teknis, kami melihat pergeseran ke industrialisasi malware berbantu AI yang memungkinkan aktor jahat membanjiri lingkungan target dengan beragam biner sementara," jelas para peneliti keamanan Bitdefender.

Metode ini oleh Bitdefender dinamakan Distributed Denial of Detection (DDoD), di mana penyerang tidak berusaha menghindari deteksi dengan teknik canggih, melainkan membanjiri sistem dengan berbagai file malware yang berbeda bahasa dan protokol komunikasi sehingga membingungkan sistem pertahanan.

Serangan Berawal dari Phishing dan Eksekusi Skrip PowerShell

Rantai infeksi biasanya dimulai dengan phishing menggunakan email yang menyisipkan shortcut Windows (file LNK) dalam arsip ZIP atau image ISO. Alternatif lainnya adalah PDF yang mengarahkan korban untuk mengunduh arsip ZIP dari situs web yang dikendalikan penyerang.

File LNK kemudian menjalankan skrip PowerShell secara in-memory, mengunduh dan mengeksekusi backdoor utama yang digunakan untuk aksi pasca-kompromi, termasuk menyebarkan alat simulasi adversary seperti Cobalt Strike dan Havoc. Strategi hybrid ini bertujuan memperkuat daya tahan serangan terhadap upaya mitigasi.

Beragam Malware dan Alat yang Digunakan dalam Kampanye

Beberapa malware dan alat yang ditemukan antara lain:

• Warcode - loader shellcode custom berbasis Crystal untuk memuat Havoc agent langsung ke memori.
• NimShellcodeLoader - alat eksperimental untuk menanam beacon Cobalt Strike.
• CreepDropper - malware .NET untuk mengantarkan payload tambahan seperti infostealer SHEETCREEP (Go) dan backdoor MAILCREEP (C#), yang menggunakan Microsoft Graph API dan Google Sheets sebagai C2.
• SupaServ - backdoor Rust yang menggunakan Supabase dan Firebase sebagai kanal komunikasi, mengandung emoji Unicode yang mengindikasikan pembuatan berbasis AI.
• LuminousStealer - infostealer Rust yang memanfaatkan Firebase dan Google Drive untuk mengekstrak file dengan ekstensi tertentu.
• CrystalShell dan ZigShell - backdoor lintas platform (Windows, Linux, macOS) yang menggunakan Discord dan Slack sebagai C2, mampu menjalankan perintah dan transfer file.
• CrystalFile - interpreter perintah sederhana yang memonitor dan menjalankan isi file teks secara otomatis.
• LuminousCookies - injector khusus Rust untuk mencuri cookie, password, dan data pembayaran dari browser berbasis Chromium.
• BackupSpy - alat pemantau file sistem lokal dan media eksternal untuk data bernilai tinggi.
• ZigLoader - loader khusus untuk mengeksekusi shellcode secara tersembunyi di memori.
• Gate Sentinel Beacon - versi kustom dari framework C2 open-source GateSentinel.

Implikasi dan Tantangan Keamanan Siber

Bitdefender menilai pergeseran Transparent Tribe ke vibeware sebenarnya merupakan kemunduran teknis. Walaupun AI mempercepat produksi malware, alat yang dihasilkan kerap tidak stabil dan penuh kesalahan logika. Strategi flooding malware ini salah sasaran jika hanya mengandalkan deteksi berbasis tanda tangan, yang sudah usang dibandingkan teknologi endpoint security modern.

Risiko terbesar dari malware berbasis AI adalah industrialisasi serangan yang memungkinkan aktor ancaman memperluas skala operasi dengan cepat dan minim usaha. Kombinasi penggunaan bahasa pemrograman niche dan layanan terpercaya untuk komunikasi C2 membuat kode yang sebenarnya biasa saja bisa berhasil menembus pertahanan dengan membanjiri sistem keamanan.

Analisis Redaksi

Menurut pandangan redaksi, terungkapnya penggunaan AI oleh kelompok seperti Transparent Tribe menandakan era baru dalam serangan siber yang lebih mengandalkan kuantitas dan kebingungan daripada kualitas malware. Ini menjadi peringatan serius bagi lembaga keamanan siber di Asia Selatan khususnya India untuk memperbarui strategi pertahanan mereka dengan mendalami deteksi perilaku dan analisis anomali, bukan hanya mengandalkan signature-based detection.

Selain itu, adopsi bahasa pemrograman yang jarang dipakai dan pemanfaatan platform komunikasi populer seperti Slack dan Discord sebagai C2 menunjukkan bahwa penyerang semakin pintar dalam menyembunyikan aktivitasnya dalam lalu lintas jaringan yang sah. Hal ini mengharuskan organisasi untuk meningkatkan pengawasan terhadap penggunaan aplikasi cloud dan komunikasi internal.

Kedepannya, kita juga harus waspada terhadap kemunculan kelompok lain yang akan meniru metode industrialisasi malware berbasis AI, yang berpotensi mempercepat eskalasi serangan siber global dengan dampak yang lebih luas dan sulit dikendalikan.

Terus ikuti perkembangan keamanan siber untuk memahami bagaimana teknologi AI tidak hanya menjadi alat bagi inovasi, tetapi juga ancaman baru yang harus diwaspadai bersama.