Laporan terbaru dari perusahaan keamanan siber CrowdStrike mengungkap tren mengkhawatirkan: peretas yang didukung negara Korea Utara kini secara masif memanfaatkan kecerdasan buatan generatif (GenAI) dan teknologi deepfake. Mereka menggunakan teknologi tersebut untuk melamar pekerjaan, memenangkan sesi wawancara, dan menyusup ke dalam perusahaan sebagai karyawan TI jarak jauh, menciptakan fenomena “karyawan hantu” yang meresahkan.
Dalam 2025 Threat Hunting Report, CrowdStrike menyoroti kelompok ancaman bernama FAMOUS CHOLLIMA, sebuah kelompok lawan yang berafiliasi dengan Republik Rakyat Demokratis Korea (DPRK). Kelompok ini telah mengindustrialisasi skema ancaman orang dalam (insider threat) dengan skala yang belum pernah terjadi sebelumnya, menandai peningkatan aktivitas sebesar 220% dari tahun ke tahun.
Simak artikel informatif lainnya hanya di mureks.co.id.
Dalam 12 bulan terakhir saja, FAMOUS CHOLLIMA berhasil menyusup ke lebih dari 320 perusahaan. Angka ini menunjukkan lonjakan signifikan dalam kemampuan dan jangkauan operasional mereka dalam melancarkan serangan siber.
Modus Operandi Canggih: Dari Resume Palsu hingga Deepfake Wawancara
Modus operandi kelompok ini sangat canggih dan sepenuhnya memanfaatkan celah dalam proses perekrutan jarak jauh. Proses penipuan dimulai sejak tahap administrasi, di mana mereka menggunakan alat GenAI untuk menyusun resume dan surat lamaran yang sangat meyakinkan.
Tidak hanya itu, mereka juga memalsukan identitas digital dengan menggunakan basis data foto yang bocor dari alat pengeditan foto AI. Ini memungkinkan mereka membuat profil media sosial dan dokumen identifikasi palsu agar terlihat seperti kandidat yang sah.
Aspek paling mencengangkan terjadi pada tahap wawancara video. Laporan CrowdStrike mencatat bahwa operator FAMOUS CHOLLIMA kemungkinan besar menggunakan teknologi deepfake waktu nyata (real-time) untuk menyembunyikan wajah asli mereka saat berhadapan dengan perekrut.
CrowdStrike menemukan bukti bahwa operator ini mencari dan menggunakan aplikasi penukar wajah AI seperti “Hacksider” dan membayar langganan premium untuk memuluskan aksi mereka. Ini menunjukkan tingkat investasi dan dedikasi yang tinggi dalam melancarkan serangan.
Selain memanipulasi visual, mereka juga menggunakan Model Bahasa Besar (LLM) untuk menjawab pertanyaan wawancara teknis dan menyelesaikan tugas pengkodean (coding assignments) secara langsung. Penggunaan AI ini memungkinkan mereka tampil jauh lebih fasih berbahasa Inggris dan tampak lebih kompeten secara teknis daripada kemampuan asli mereka, sehingga memperbesar peluang mereka untuk mendapatkan tawaran pekerjaan.
Aktivitas “Karyawan Hantu” Pasca-Perekrutan
Setelah berhasil direkrut, para “karyawan hantu” ini tidak bekerja secara normal. Mereka sering kali memegang tiga hingga empat pekerjaan di perusahaan berbeda secara bersamaan, memaksimalkan akses dan potensi keuntungan.
Untuk mengatasi beban kerja dan keterbatasan bahasa, mereka sangat bergantung pada asisten kode GenAI seperti Microsoft Copilot atau VSCodium untuk menyelesaikan tugas harian. Mereka juga menggunakan alat penerjemah berbasis AI untuk berkomunikasi dengan tim melalui email dan aplikasi pesan instan, memastikan tata bahasa dan konteks teknis terlihat akurat.
Hal ini memungkinkan mereka mempertahankan akses di dalam jaringan perusahaan—posisi strategis yang dapat digunakan untuk eksfiltrasi data, penyebaran malware, atau keuntungan finansial bagi rezim negara asal mereka.
Mencegah Infiltrasi “Karyawan Hantu”
Menghadapi ancaman yang semakin canggih ini, metode verifikasi tradisional tidak lagi memadai. CrowdStrike merekomendasikan perusahaan untuk menerapkan tantangan deepfake waktu nyata selama sesi wawancara video, seperti meminta kandidat melakukan gerakan fisik tertentu yang sulit dipalsukan oleh filter AI.
Selain itu, tim keamanan TI disarankan untuk memantau saluran komunikasi karyawan guna mendeteksi tanda-tanda penggunaan alat terjemahan yang tidak wajar atau pengelolaan banyak akun secara bersamaan. Verifikasi identitas yang ketat dan validasi perangkat keras juga menjadi kunci untuk mencegah “karyawan hantu” ini mendapatkan akses ke jantung infrastruktur perusahaan.
