BISNISASIA.CO.ID, JAKARTA – Threat Research dan AI Technology Research milik Kaspersky telah bersama-sama mengidentifikasi kampanye malware canggih yang secara khusus dirancang untuk menargetkan profesional TI berbahasa Mandarin—termasuk administrator sistem, pengembang, dan peneliti teknis—melalui situs web AI DeepSeek palsu.
Para penyerang secara tepat membuat antarmuka berbahasa Mandarin yang dipoles dan kredibel yang mempromosikan “DeepSeek本地部署” (DeepSeek Local Deployment /Penerapan Lokal DeepSeek), yang menarik secara langsung kepada pengguna tingkat lanjut yang ingin menjalankan sistem AI sepenuhnya secara independen pada perangkat keras lokal mereka sendiri.
Menurut analisis Kaspersky, malware yang disembunyikan dalam kampanye ini secara tidak proporsional membahayakan individu khususny para ahli teknologi yang secara teratur mengoperasikan sistem TI yang sensitif.
Secara khusus, muatan malware tersebut secara keliru menampilkan dirinya sebagai Ollama—kerangka kerja sumber terbuka populer yang dirancang untuk menjalankan model AI generatif yang kuat seperti DeepSeek secara lokal.
Karena Ollama memungkinkan pengguna teknis untuk dengan mudah menerapkan layanan AI pada infrastruktur mereka sendiri, penyerang memanfaatkan daya tarik ini untuk secara sengaja mendapatkan akses ke sistem individu yang sangat istimewa.
“Daya tarik menjalankan alat AI generatif seperti DeepSeek secara lokal—kontrol penuh, penurunan ketergantungan pada layanan cloud, dan privasi yang lebih baik—sudah menjadi umum di kalangan profesional TI,” jelas Vladislav Tushkanov, manajer grup di Kaspersky AI Technology Research Center.
“Dengan secara eksplisit menargetkan individu yang cakap secara teknis ini, penyerang secara strategis menjembatani dari perangkat pribadi yang disusupi ke lingkungan perusahaan yang sangat istimewa. Apa yang awalnya tampak sebagai kompromi tingkat individu dapat dengan cepat meningkat menjadi insiden siber tingkat organisasi yang substansial.”
Peneliti Kaspersky mengidentifikasi domain palsu app.delpaseek[.]com, app.deapseek[.]com, dan dpsk.dghjwd[.]cn yang mendistribusikan malware khusus ini. Jika pengguna memasang apa yang tampak seperti alat penyebaran AI lokal, malware tersebut akan membuat terowongan komunikasi rahasia menggunakan protokol KCP, yang berpotensi memberi penyerang akses jarak jauh berkelanjutan ke sistem yang terinfeksi.
Akses backdoor ini memungkinkan pelaku ancaman untuk mengekstrak data sensitif secara diam-diam, menangkap kredensial, memantau aktivitas sistem, dan bergerak secara lateral dalam jaringan perusahaan tempat para profesional ini bekerja. Kaspersky Security Network mendeteksi ancaman ini sebagai Backdoor.Win32.Xkcp.a.
Dalam kampanye paralel, domain seperti deep-seek[.]bar dan deep-seek[.]rest mendistribusikan malware yang menggunakan teknik penghindaran tingkat lanjut termasuk steganografi—menyembunyikan kode berbahaya dalam file yang tampaknya tidak berbahaya—diikuti dengan injeksi proses yang memungkinkan malware beroperasi dalam proses sistem yang sah, sehingga membuat deteksi menjadi jauh lebih sulit. Kaspersky mendeteksi ancaman ini sebagai Trojan.Win32.Agent.xbwfho.
