TIMETODAY.ID — Para peneliti dari Threat Research dan AI Technology Research milik Kaspersky telah mengungkap kampanye malware canggih yang menargetkan profesional teknologi informasi (TI) berbahasa Mandarin. Serangan ini dilakukan melalui situs web palsu yang mengklaim menawarkan layanan AI bernama DeepSeek.
Dalam modus operasinya, pelaku ancaman menciptakan antarmuka berbahasa Mandarin yang tampak meyakinkan untuk mempromosikan “DeepSeek本地部署” (DeepSeek Local Deployment). Sasaran utamanya adalah pengguna tingkat lanjut yang ingin menjalankan kecerdasan buatan secara mandiri tanpa ketergantungan pada layanan cloud.
Menurut analisis Kaspersky, malware ini menyamar sebagai Ollama, sebuah kerangka kerja sumber terbuka yang populer untuk menjalankan model AI generatif secara lokal.
“Daya tarik menjalankan alat AI generatif seperti DeepSeek secara lokal—dengan kontrol penuh, pengurangan ketergantungan pada layanan cloud, dan peningkatan privasi—sudah menjadi tren di kalangan profesional TI,” jelas Vladislav Tushkanov, manajer grup di Kaspersky AI Technology Research Center mengutip dari voi.id.
Tim peneliti Kaspersky berhasil mengidentifikasi sejumlah domain palsu yang digunakan dalam kampanye ini, di antaranya app.delpaseek[.]com, app.deapseek[.]com, dan dpsk.dghjwd[.]cn. Domain ini berfungsi untuk mendistribusikan malware secara tersembunyi kepada pengguna yang tidak curiga.
Jika pengguna menginstal perangkat lunak dari situs palsu tersebut, malware akan langsung membangun terowongan komunikasi rahasia menggunakan protokol KCP. Hal ini memungkinkan penyerang mendapatkan akses jarak jauh secara berkelanjutan ke perangkat yang telah terinfeksi.
Akses backdoor yang dihasilkan oleh malware ini memberi peluang bagi pelaku ancaman untuk mencuri data sensitif, menangkap kredensial pengguna, memantau aktivitas sistem, hingga bergerak secara lateral dalam jaringan perusahaan yang menjadi target.
“Dengan secara eksplisit menargetkan individu yang cakap secara teknis ini, penyerang mampu menjembatani akses dari perangkat pribadi yang telah dikompromikan ke lingkungan perusahaan yang memiliki tingkat keamanan lebih tinggi,” tambah Tushkanov.
Selain itu, dalam kampanye paralel, domain DeepSeek palsu juga digunakan untuk menyebarkan malware yang memiliki teknik penghindaran tingkat lanjut. Salah satu metode yang digunakan adalah steganografi, yang memungkinkan penyembunyian data dalam file lain, diikuti dengan injeksi proses agar malware dapat beroperasi di dalam proses sistem yang sah. Teknik ini membuat deteksi menjadi jauh lebih sulit bagi perangkat keamanan.
Serangan ini menjadi peringatan bagi para profesional TI untuk lebih berhati-hati dalam mengunduh perangkat lunak dari sumber yang belum terverifikasi. Kaspersky menyarankan pengguna untuk selalu memeriksa keabsahan domain serta menggunakan solusi keamanan yang mampu mendeteksi ancaman tersembunyi seperti ini.
Follow dan Baca Artikel lainnya di Google News atau via whatsapp timetoday wa channel
