Gelombang baru malware kripto menyapu dunia aset digital, dan kali ini para aktornya lebih bijaksana dan lebih serbaguna dari sebelumnya. Di garis depan gelombang baru adalah Librarian Ghouls, kelompok (APT) ancaman persisten canggih yang berfokus pada Rusia, dan Crocodilus, pencuri lintas platform yang berakar pada trojan perbankan Android.
"Kampanye terbaru Ghouls Perpustakaan menggunakan perangkat lunak yang sah seperti AnyDesk untuk menyembunyikan penambang kripto dan keylogger. Begitu mereka masuk, mereka menjadi diam—sampai tengah malam."
— Kaspersky Threat Intelligence (Juni 9, 2025)
Ghouls Pustakawan: Malware "Legitimate"
Grup APT ini menyamarkan serangan sebagai dokumen rutin (misalnya, perintah pembayaran) dalam email phishing. Setelah dibuka, malware mereka:
Menginstal 4t Tray Minimizer untuk menyembunyikan proses berbahaya.
Menggunakan AnyDesk untuk akses jarak jauh dan XMRig untuk menambang Monero.
Mencuri kredensial dompet crypto dan kunci registri.
Baru di 2025: Aktivasi tengah malam — malware hanya berjalan di malam hari untuk menghindari deteksi.
Serangan mereka bukan sekadar perampokan dengan kekuatan kasar — sebaliknya, mereka menggabungkan keahlian teknis dengan paksaan psikologis, menyerang di setiap langkah siklus kripto.
Librarian Ghouls juga telah mengoptimalkan loader mereka untuk menyamar sebagai aplikasi bisnis yang sah, sering menanamkan malware mereka ke dalam apa yang tampaknya tidak berbahaya seperti pesanan pembayaran atau faktur. Ketika korban kemudian mengeksekusi file, penginstal malware menginstal program secara diam-diam seperti 4t Tray Minimizer untuk menutupi jejaknya dan AnyDesk untuk remote control.
Tetapi yang paling unik tentang grup ini adalah bahwa mereka menggunakan pemicu berbasis waktu: malware hanya diaktifkan di malam hari, mengurangi kemungkinan deteksi oleh tim keamanan selama jam kerja. Ini dilakukan dengan menggunakan strategi malam yang memungkinkan untuk mencuri kredensial dompet, menambang Monero menggunakan XMRig, dan mengekstrak data sensitif tanpa terdeteksi.
Korban mungkin bahkan tidak menyadari bahwa ada yang tidak beres hingga berminggu-minggu kemudian, ketika dompet mereka biasanya telah terkuras dan sistem mereka terkompromi di luar pemulihan yang sederhana.
Crocodilus: Pengumpul Seed-Phrase
Awalnya adalah trojan perbankan Turki, Crocodilus sekarang menargetkan pengguna crypto global melalui:
Aplikasi palsu yang menyamar sebagai Coinbase, MetaMask, atau alat penambangan.
Pengumpul frasa benih otomatis yang memindai perangkat untuk data dompet.
Rekayasa sosial melalui kontak palsu “Dukungan Bank” di ponsel Anda.
“Parser baru Crocodilus mengekstrak frasa benih dengan presisi bedah. Satu klik pada tautan X palsu, dan dompet Anda hilang.”
— Tim MTI ThreatFabric ( 3 Juni 2025 )
Crocodilus, di sisi lain, dengan cepat berkembang dari ancaman regional menjadi ancaman global. Tidak lagi terbatas pada Android, ia sekarang menargetkan ekstensi browser berbahaya, aplikasi desktop klon, dan bahkan bot Telegram untuk memperluas jangkauannya. Fitur paling mematikan dari malware ini adalah kemampuannya untuk mencuri frasa benih dari data clipboard, tangkapan layar, dan data pengisian otomatis, terkadang bahkan sebelum korban menyadari bahwa mereka telah menjadi target.
Pelaku ancaman mulai menawarkan akses ke dompet yang disusupi untuk dijual di forum darknet, membangun pasar gelap yang berkembang untuk aset cryptocurrency yang dicuri yang tumbuh dalam ukuran dan kompleksitas. Kadang-kadang, Crocodilus bahkan mengirim spam nomor "dukungan" yang tidak bersalah ke ponsel korban, mengelabui pengguna untuk memberikan informasi sensitif dengan kedok dukungan teknis.
Tautan X Palsu: Kini dengan Deepfake Waktu Nyata
Hacker sedang mengeksploitasi X (Twitter) dengan:
Akun terverifikasi yang diretas mempromosikan airdrop penipuan.
QR code yang terhubung ke kontrak pintar yang menguras dompet.
Dukungan obrolan deepfake AI yang meniru agen nyata.
Contoh Nyata: Pada Mei 2025, sebuah livestream deepfake "Elon Musk" mendesak pemirsa untuk memindai kode QR untuk giveaway "TeslaCoin". Korban kehilangan lebih dari $200K dalam 30 menit.
Salah satu tren yang paling mengkhawatirkan adalah pengembangan obrolan dukungan deepfake waktu nyata. Peretas menggunakan avatar yang dipengaruhi AI untuk menyamar sebagai merek atau influencer yang dikenal di X (Twitter), memberikan "bantuan" interaktif yang autentik yang menjebak korban untuk membagikan frasa benih atau kunci pribadi mereka.
Deepfake sangat meyakinkan sehingga bahkan pengguna crypto berpengalaman pun terjebak di dalamnya, dengan avatar yang meniru suara, nada, dan bahkan bahasa tubuh tokoh-tokoh yang dikenal dalam komunitas.
Dalam salah satu kasus yang paling menonjol, siaran langsung deepfake "Elon Musk" di X mengiklankan giveaway TeslaCoin palsu dan mengalami kerugian ratusan ribu dolar dalam beberapa menit.
Tips OPSEC: Cara Tetap Aman
Dari Panduan Quillaudits 2025:
| Tindakan | Mengapa Ini Penting |
| --- | --- |
| Gunakan alat khusus | Isolasi aktivitas crypto dari browsing sehari-hari |
| Cabut persetujuan | Malware tidak dapat menguras dompet yang telah Anda kunci |
| Hindari Wi-Fi publik | Crocodilus berkembang di jaringan yang tidak aman |
| Verifikasi X tautan offline | Penipuan deepfake menghilang saat diperiksa silang |
Untuk melindungi dari ancaman seperti itu, pengguna harus memanfaatkan pendekatan OPSEC berlapis. Para ahli merekomendasikan penggunaan dompet perangkat keras untuk investasi bernilai tinggi, mengaktifkan autentikasi dua faktor, dan tidak pernah berbagi frasa pemulihan — bahkan tidak dengan personel dukungan yang diduga atau akun media sosial yang sah.
Pemeriksaan persetujuan dompet secara teratur, menjaga perangkat lunak tetap mutakhir, dan memisahkan operasi kripto ke dalam perangkat sekali pakai juga dapat mengurangi risiko. Ketika penyerang menjadi semakin inovatif dan inventif, pertahanan terbaik adalah tetap terdidik dengan baik dan cukup skeptis.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Dapatkah Anda Mempercayai Kripto Anda Aman Saat Anda Tidur?
Gelombang baru malware kripto menyapu dunia aset digital, dan kali ini para aktornya lebih bijaksana dan lebih serbaguna dari sebelumnya. Di garis depan gelombang baru adalah Librarian Ghouls, kelompok (APT) ancaman persisten canggih yang berfokus pada Rusia, dan Crocodilus, pencuri lintas platform yang berakar pada trojan perbankan Android.
Ghouls Pustakawan: Malware "Legitimate"
Grup APT ini menyamarkan serangan sebagai dokumen rutin (misalnya, perintah pembayaran) dalam email phishing. Setelah dibuka, malware mereka:
Baru di 2025: Aktivasi tengah malam — malware hanya berjalan di malam hari untuk menghindari deteksi.
Serangan mereka bukan sekadar perampokan dengan kekuatan kasar — sebaliknya, mereka menggabungkan keahlian teknis dengan paksaan psikologis, menyerang di setiap langkah siklus kripto.
Librarian Ghouls juga telah mengoptimalkan loader mereka untuk menyamar sebagai aplikasi bisnis yang sah, sering menanamkan malware mereka ke dalam apa yang tampaknya tidak berbahaya seperti pesanan pembayaran atau faktur. Ketika korban kemudian mengeksekusi file, penginstal malware menginstal program secara diam-diam seperti 4t Tray Minimizer untuk menutupi jejaknya dan AnyDesk untuk remote control.
Tetapi yang paling unik tentang grup ini adalah bahwa mereka menggunakan pemicu berbasis waktu: malware hanya diaktifkan di malam hari, mengurangi kemungkinan deteksi oleh tim keamanan selama jam kerja. Ini dilakukan dengan menggunakan strategi malam yang memungkinkan untuk mencuri kredensial dompet, menambang Monero menggunakan XMRig, dan mengekstrak data sensitif tanpa terdeteksi.
Korban mungkin bahkan tidak menyadari bahwa ada yang tidak beres hingga berminggu-minggu kemudian, ketika dompet mereka biasanya telah terkuras dan sistem mereka terkompromi di luar pemulihan yang sederhana.
Crocodilus: Pengumpul Seed-Phrase
Awalnya adalah trojan perbankan Turki, Crocodilus sekarang menargetkan pengguna crypto global melalui:
Crocodilus, di sisi lain, dengan cepat berkembang dari ancaman regional menjadi ancaman global. Tidak lagi terbatas pada Android, ia sekarang menargetkan ekstensi browser berbahaya, aplikasi desktop klon, dan bahkan bot Telegram untuk memperluas jangkauannya. Fitur paling mematikan dari malware ini adalah kemampuannya untuk mencuri frasa benih dari data clipboard, tangkapan layar, dan data pengisian otomatis, terkadang bahkan sebelum korban menyadari bahwa mereka telah menjadi target.
Pelaku ancaman mulai menawarkan akses ke dompet yang disusupi untuk dijual di forum darknet, membangun pasar gelap yang berkembang untuk aset cryptocurrency yang dicuri yang tumbuh dalam ukuran dan kompleksitas. Kadang-kadang, Crocodilus bahkan mengirim spam nomor "dukungan" yang tidak bersalah ke ponsel korban, mengelabui pengguna untuk memberikan informasi sensitif dengan kedok dukungan teknis.
Tautan X Palsu: Kini dengan Deepfake Waktu Nyata
Hacker sedang mengeksploitasi X (Twitter) dengan:
Contoh Nyata: Pada Mei 2025, sebuah livestream deepfake "Elon Musk" mendesak pemirsa untuk memindai kode QR untuk giveaway "TeslaCoin". Korban kehilangan lebih dari $200K dalam 30 menit.
Salah satu tren yang paling mengkhawatirkan adalah pengembangan obrolan dukungan deepfake waktu nyata. Peretas menggunakan avatar yang dipengaruhi AI untuk menyamar sebagai merek atau influencer yang dikenal di X (Twitter), memberikan "bantuan" interaktif yang autentik yang menjebak korban untuk membagikan frasa benih atau kunci pribadi mereka.
Deepfake sangat meyakinkan sehingga bahkan pengguna crypto berpengalaman pun terjebak di dalamnya, dengan avatar yang meniru suara, nada, dan bahkan bahasa tubuh tokoh-tokoh yang dikenal dalam komunitas.
Dalam salah satu kasus yang paling menonjol, siaran langsung deepfake "Elon Musk" di X mengiklankan giveaway TeslaCoin palsu dan mengalami kerugian ratusan ribu dolar dalam beberapa menit.
Tips OPSEC: Cara Tetap Aman
Dari Panduan Quillaudits 2025:
| Tindakan | Mengapa Ini Penting | | --- | --- | | Gunakan alat khusus | Isolasi aktivitas crypto dari browsing sehari-hari | | Cabut persetujuan | Malware tidak dapat menguras dompet yang telah Anda kunci | | Hindari Wi-Fi publik | Crocodilus berkembang di jaringan yang tidak aman | | Verifikasi X tautan offline | Penipuan deepfake menghilang saat diperiksa silang |
Untuk melindungi dari ancaman seperti itu, pengguna harus memanfaatkan pendekatan OPSEC berlapis. Para ahli merekomendasikan penggunaan dompet perangkat keras untuk investasi bernilai tinggi, mengaktifkan autentikasi dua faktor, dan tidak pernah berbagi frasa pemulihan — bahkan tidak dengan personel dukungan yang diduga atau akun media sosial yang sah.
Pemeriksaan persetujuan dompet secara teratur, menjaga perangkat lunak tetap mutakhir, dan memisahkan operasi kripto ke dalam perangkat sekali pakai juga dapat mengurangi risiko. Ketika penyerang menjadi semakin inovatif dan inventif, pertahanan terbaik adalah tetap terdidik dengan baik dan cukup skeptis.