Image credit: Freepix
Era Baru Kejahatan Siber Berbasis LLM – Lanskap keamanan siber global kembali dikejutkan dengan penemuan varian malware baru yang diberi nama Slopoly.
Malware ini menarik perhatian besar karena memiliki karakteristik unik yang mengindikasikan bahwa kode programnya disusun menggunakan bantuan alat kecerdasan buatan generatif atau Large Language Model (LLM).
Penemuan ini menandai pergeseran signifikan dalam cara kelompok kriminal siber memproduksi senjata digital mereka, di mana efisiensi dan kecepatan pengembangan menjadi prioritas utama untuk menembus pertahanan organisasi yang semakin ketat.
Analisis mendalam yang dilakukan oleh peneliti mengungkap bahwa Slopoly berfungsi sebagai pintu belakang (backdoor) berbasis skrip PowerShell.
Malware ini ditemukan bersarang di server yang telah dikompromi selama lebih dari satu minggu, memberikan waktu yang cukup bagi penyerang untuk melakukan pengintaian dan pencurian data sebelum akhirnya meluncurkan muatan akhir berupa ransomware Interlock.
Penggunaan AI dalam pembuatan Slopoly terlihat dari struktur kodenya yang sangat tidak lazim untuk ukuran malware buatan manusia.
Peneliti menemukan adanya komentar kode yang sangat ekstensif, penamaan variabel yang sangat jelas, serta sistem penanganan kesalahan (error handling) dan pencatatan log yang terstruktur rapi.
Karakteristik ini biasanya ditemukan pada pengembang perangkat lunak legal, sementara pembuat malware manusia cenderung menulis kode yang ringkas atau sengaja dibuat membingungkan (obfuscated).
|
Baca juga: Penipuan Berbagi Layar WhatsApp |
1. Mekanisme Kerja dan Fungsi Teknis Slopoly
Meskipun dalam komentar kodenya Slopoly mengklaim diri sebagai “Klien Persistensi C2 Polimorfik”, peneliti menemukan bahwa klaim tersebut sedikit berlebihan. Namun, berikut adalah beberapa fungsi teknis utama yang dijalankan oleh malware ini:
Pengumpulan Data Sistem
Segera setelah aktif, Slopoly mengumpulkan informasi mendalam mengenai spesifikasi perangkat keras dan perangkat lunak server korban untuk dikirim ke server kendali.
Komunikasi Beaconing
Malware ini mengirimkan sinyal “detak jantung” (heartbeat) setiap 30 detik dan melakukan pengecekan perintah baru (polling) setiap 50 detik ke alamat API penyerang.
Eksekusi Perintah Jarak Jauh
Melalui perintah yang diterima dari server C2, Slopoly dapat menjalankan perintah melalui cmd.exe, mengunduh muatan tambahan seperti file EXE atau DLL, hingga memperbarui dirinya sendiri secara otomatis.
Persistensi Melalui Tugas Terjadwal
Untuk memastikan tetap aktif meskipun server dimulai ulang, Slopoly membuat scheduled task di Windows dengan nama yang menyamar sebagai proses sistem sah, yaitu “Runtime Broker”.
2. Operasi Ransomware Interlock dan Kelompok Hive0163
Puncak dari infeksi Slopoly adalah pengerahan ransomware Interlock. Penyerang biasanya memulai rantai serangan ini dengan teknik rekayasa sosial ClickFix yang menjebak pengguna untuk menjalankan skrip berbahaya di bawah kedok perbaikan teknis peramban.
|
Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah |
Enkripsi dengan Restart Manager
Ransomware Interlock menggunakan Windows Restart Manager API untuk menutup paksa aplikasi yang sedang mengunci file, sehingga proses enkripsi dapat berjalan tanpa hambatan pada semua data penting.
Ekstensi File Khusus
Setelah data berhasil dikunci, file akan memiliki tambahan ekstensi seperti . !NT3RLOCK atau .int3R1Ock, dan korban akan diminta membayar tebusan untuk mendapatkan kunci dekripsi.
Target Organisasi Profil Tinggi
Kelompok Hive0163, yang berada di balik operasi ini, dikenal sangat agresif dan telah menargetkan sektor kesehatan, pendidikan, hingga instansi pemerintah di berbagai negara.
Kaitan dengan Kelompok Lain
Peneliti mengamati adanya kemiripan pola serangan dan pertukaran alat antara kelompok ini dengan operator ransomware lain seperti Rhysida, yang menunjukkan adanya kolaborasi dalam ekosistem kejahatan siber global.
Konklusi
Penggunaan AI dalam kasus Slopoly membuktikan bahwa meskipun sebuah malware dianggap “tidak canggih” secara teknis, integrasi AI dapat mempercepat proses produksi malware kustom yang mampu beradaptasi dengan target tertentu dalam waktu singkat. Organisasi tidak lagi bisa hanya mengandalkan perlindungan statis.
Diperlukan pemantauan perilaku aktif pada skrip PowerShell dan tugas terjadwal, serta edukasi berkelanjutan terhadap karyawan mengenai teknik rekayasa sosial seperti ClickFix.
Keberadaan komentar kode yang rapi dalam malware AI mungkin tampak seperti sebuah anomali, namun bagi penyerang, hal tersebut adalah hasil sampingan dari penggunaan alat yang memungkinkan mereka bekerja lebih cepat daripada tim keamanan yang mencoba mengejar mereka.
Sumber berita:
