Kaspersky Ciduk Situs Palsu DeepSeek AI Targetkan Profesional TI

Jakarta, Gizmologi – Kaspersky, perusahaan solusi keamanan siber mengumumkan penemuannya terkait situs palsu DeepSeek AI. Penemuan ini berawal dari Threat Research dan AI Technology Research milik Kaspersky yang mengidentifikasi kampanye malware canggih.

Malware tersebut terlihat dirancang khusus untuk menargetkan profesional TI berbahasa Mandarin. Pekerja profesional TI termasuk administrator sistem, pengembang, dan peneliti teknis.

Malware yang ditemukan berada di situs palsu DeepSeek. Para penyerang secara tepat membuat antarmuka berbahasa Mandarin yang dipoles dan kredibel yang mempromosikan “DeepSeek 本地部署” (DeepSeek Local Deployment /Penerapan Lokal DeepSeek).

Baca Juga: Paket Swadaya Aman Telkomsel dan Kaspersky Tawarkan Perlindungan Digital Driver Gojek

Analisis Kaspersky Mengenai Situs Palsu DeepSeek AI

Para pelaku serangan siber ini membuat situs palsu DeepSeek yang menarik secara langsung kepada pengguna tingkat lanjut mengenai cara menjalankan sistem AI sepenuhnya secara independen pada perangkat keras lokal mereka sendiri. Menurut analisis Kaspersky, malware yang disembunyikan dalam kampanye ini secara tidak proporsional membahayakan individu khususnya para ahli teknologi yang secara teratur mengoperasikan sistem TI yang sensitif.

Secara khusus, muatan malware tersebut secara keliru menampilkan dirinya sebagai Ollama. Sebagai informasi, Ollama merupakan kerangka kerja sumber terbuka populer yang dirancang untuk menjalankan model AI generatif yang kuat seperti DeepSeek secara lokal.

Ollama ini digunakan karena bisa memungkinkan pengguna teknis untuk dengan mudah menerapkan layanan AI pada infrastruktur mereka sendiri. Dengan begitu, penyerang memanfaatkan daya tarik ini untuk secara sengaja mendapatkan akses ke sistem individu yang sangat istimewa.

“Daya tarik menjalankan alat AI generatif seperti DeepSeek secara lokal menjadi umum di kalangan profesional TI,” jelas Vladislav Tushkanov, manajer grup di Kaspersky AI Technology Research Center.

Situs palsu DeepSeek yang diidentifikasi oleh Kaspersky ialah app.delpaseek[.]com, app.deapseek[.]com, dan dpsk.dghjwd[.]cn. Perusahaan menjelaskan jika pengguna memasang apa yang tampak seperti alat penyebaran AI lokal, malware tersebut akan membuat terowongan komunikasi rahasia menggunakan protokol KCP, yang berpotensi memberi penyerang akses jarak jauh berkelanjutan ke sistem yang terinfeksi.

Akses backdoor ini memungkinkan pelaku ancaman untuk mengekstrak data sensitif secara diam-diam, menangkap kredensial, memantau aktivitas sistem, dan bergerak secara lateral dalam jaringan perusahaan tempat para profesional ini bekerja. Kaspersky Security Network mendeteksi ancaman ini sebagai Backdoor.Win32.Xkcp.a.

Dalam kampanye paralel, situs palsu DeepSeek seperti deep-seek[.]bar dan deep-seek[.]rest mendistribusikan malware yang menggunakan teknik penghindaran tingkat lanjut termasuk steganografi diikuti dengan injeksi proses yang memungkinkan malware beroperasi dalam proses sistem yang sah, sehingga membuat deteksi menjadi jauh lebih sulit. Sebagai informasi, steganografi merupakan tindakan menyembunyikan kode berbahaya dalam file yang tampaknya tidak berbahaya. Kaspersky mendeteksi ancaman ini sebagai Trojan.Win32.Agent.xbwfho.

“Apa yang awalnya tampak sebagai kompromi tingkat individu dapat dengan cepat meningkat menjadi insiden siber tingkat organisasi yang substansial,” jelas Tushkanov.

Artikel berjudul Kaspersky Ciduk Situs Palsu DeepSeek AI Targetkan Profesional TI yang ditulis oleh Zihan Fajrin pertama kali tampil di Gizmologi.id