Waspada! ChatGPT Palsu Jadi Kedok Serangan Ransomware Baru

Peretas kembali menunjukkan kreativitas sekaligus bahaya dalam menjalankan serangan siber. Kali ini, kelompok ancaman yang dilaporkan Microsoft menyamarkan malware berbahaya bernama PipeMagic sebagai aplikasi desktop ChatGPT palsu. Aksi ini diyakini sebagai bagian dari persiapan untuk meluncurkan serangan ransomware yang lebih luas.

Laporan Microsoft: PipeMagic Jadi Ancaman Serius

Dalam analisis terbarunya yang dirilis pada Senin lalu, Microsoft menjelaskan bahwa PipeMagic merupakan sebuah backdoor atau pintu belakang canggih yang digunakan oleh kelompok peretas yang mereka sebut Storm-2460. Backdoor ini memungkinkan peretas untuk mempertahankan akses tersembunyi ke dalam sistem korban, sekaligus menjalankan berbagai muatan berbahaya lainnya.

Microsoft menemukan bahwa Storm-2460 tidak hanya mengandalkan malware ini, tetapi juga mengeksploitasi kerentanan zero-day yang ditemukan pada April 2025. Melalui bug tersebut, mereka kemudian menyebarkan ransomware ke sejumlah target di berbagai sektor strategis seperti teknologi informasi, keuangan, dan properti. Kawasan yang diserang pun tidak main-main: Amerika Serikat, Eropa, Amerika Selatan, hingga Timur Tengah.

“Meski jumlah korban masih terbatas, kombinasi eksploitasi zero-day dengan backdoor modular seperti PipeMagic untuk penyebaran ransomware menjadikan ancaman ini sangat serius,” tulis peneliti Microsoft dalam laporannya.

Taktik Lama dengan Kemasan Baru

Penggunaan aplikasi ChatGPT palsu untuk memancing korban sebenarnya bukan hal baru. Laporan Kaspersky pada Oktober 2024 sudah mengungkap bagaimana penjahat siber di Asia dan Arab Saudi menyebarkan PipeMagic melalui aplikasi ChatGPT tiruan. Saat aplikasi dijalankan, korban hanya disuguhi layar kosong, tanpa antarmuka maupun fitur nyata, sementara di balik layar perangkat mereka sudah terinfeksi malware.

Menurut Kaspersky, PipeMagic memberi peretas kemampuan untuk mencuri informasi sensitif dan mengakses perangkat korban dari jarak jauh. Malware ini pertama kali ditemukan pada 2022, lalu aktivitasnya meningkat lagi pada pertengahan 2024.

Kerentanan Zero-Day Jadi Pintu Masuk

Salah satu kunci keberhasilan serangan Storm-2460 adalah eksploitasi celah keamanan dengan kode CVE-2025-29824. Kerentanan ini memengaruhi Windows Common Log File System (CLFS) Driver, komponen penting di sistem operasi Windows yang berfungsi merekam serangkaian langkah eksekusi agar dapat diulang atau dibatalkan.

Bug tersebut pertama kali ditemukan oleh peneliti keamanan dari ESET pada Maret 2025. Microsoft kemudian mengonfirmasi bahwa celah ini memang sering dijadikan sasaran geng ransomware. Menariknya, CLFS sendiri bukan komponen baru, melainkan sudah diperkenalkan sejak Windows Server 2003 R2 dan terus hadir di versi Windows berikutnya.

Melalui eksploitasi CVE-2025-29824, peretas bisa meningkatkan hak akses di sistem korban sehingga dapat mengeksekusi ransomware mereka dengan lebih leluasa.

Cara Kerja PipeMagic

Dalam peringatannya, Microsoft menjelaskan bahwa PipeMagic didesain sebagai malware modular, artinya bisa disesuaikan dengan kebutuhan penyerang. Ketika disamarkan sebagai aplikasi ChatGPT palsu, kode berbahaya disisipkan dalam proyek open-source dari GitHub yang sudah dimodifikasi.

Begitu dijalankan, aplikasi palsu tersebut akan mendekripsi serta mengeksekusi muatan tersembunyi, membuka jalan bagi PipeMagic untuk beroperasi. Setelah itu, peretas memanfaatkan kerentanan CLFS untuk mendapatkan hak akses lebih tinggi, sebelum meluncurkan ransomware.

Microsoft memang tidak menyebutkan secara pasti jenis ransomware yang digunakan Storm-2460. Namun, Kaspersky mengaitkan PipeMagic dengan kampanye ransomware RansomExx. Sementara itu, laporan dari Symantec pada Mei 2025 menyebut kelompok lain yang terkait dengan ransomware Play juga mengeksploitasi celah CVE-2025-29824 untuk serangan mereka.

Ancaman Global yang Perlu Diwaspadai

Fakta bahwa PipeMagic digunakan dalam berbagai serangan oleh kelompok ransomware berbeda menunjukkan bahwa malware ini semakin populer di kalangan pelaku kejahatan siber. Dengan memanfaatkan aplikasi tiruan yang meniru platform populer seperti ChatGPT, para peretas berhasil menipu pengguna yang tidak curiga.

Pakar keamanan menegaskan bahwa fenomena ini harus menjadi peringatan keras bagi organisasi maupun individu. Popularitas aplikasi kecerdasan buatan seperti ChatGPT memang membuka peluang besar bagi produktivitas, namun juga menjadi umpan empuk bagi penjahat siber untuk menyusupkan malware.

Upaya Perlindungan

Para pakar merekomendasikan sejumlah langkah pencegahan, di antaranya:

• Hanya unduh aplikasi dari sumber resmi: hindari menginstal perangkat lunak dari situs tidak dikenal atau tautan mencurigakan.
• Lakukan pembaruan sistem secara berkala: patch keamanan terbaru sangat penting untuk menutup celah seperti CVE-2025-29824.
• Gunakan solusi keamanan yang andal: antivirus atau endpoint protection bisa membantu mendeteksi aktivitas mencurigakan.
• Edukasi pengguna: kesadaran akan taktik rekayasa sosial sangat penting agar tidak mudah tertipu oleh aplikasi tiruan.

Serangan siber yang melibatkan PipeMagic dan penyamarannya sebagai aplikasi ChatGPT palsu memperlihatkan bagaimana kelompok peretas terus berinovasi untuk melancarkan aksinya. Dengan kombinasi eksploitasi kerentanan zero-day dan penggunaan ransomware, ancaman ini menjadi semakin berbahaya.

Organisasi dan individu dituntut untuk lebih waspada, memperkuat sistem keamanan, serta tidak lengah terhadap tren terbaru dalam kejahatan siber. Sebab, satu aplikasi palsu saja bisa menjadi pintu masuk bencana digital yang merugikan.