Laporan terbaru dari firma keamanan siber WithSecure mendokumentasikan aktivitas GREYVIBE yang menargetkan organisasi militer, pemerintahan, sipil, dan bisnis di Ukraina. Yang membuat laporan ini menonjol bukanlah sasaran serangannya—karena spionase siber Rusia ke Ukraina sudah lazim—melainkan metode yang digunakan: pemanfaatan besar-besaran model bahasa besar (LLM) dan AI generatif di seluruh rantai serangan.
AI Bukan Sekadar Alat Bantu, Tapi Otak Operasi
Menurut Mohammad Kazem Hassan Nejad, peneliti senior threat intelligence di WithSecure, penggunaan AI oleh GREYVIBE bersifat operasional dan bukan sekadar eksperimen terisolasi. "Grup ini tampaknya menggunakan AI tidak hanya untuk tugas pengembangan yang terisolasi, tetapi di berbagai fase operasional," tulis Nejad dalam laporannya.
GREYVIBE menggunakan ChatGPT milik OpenAI, Gemini milik Google, dan Ideogram AI untuk membuat malware, merancang infrastruktur server, hingga menyusun umpan phishing yang meyakinkan. Mereka mengirim email spear-phishing, membuat halaman CAPTCHA palsu, dan bahkan menjalankan situs web klub dewasa Ukraina palsu untuk mengelabui korban agar mengunduh malware.
Operasi Canggih tapi Ceroboh: Malware 'letsrollboyos' dan 'cuteuwu'
Meskipun secara teknis memanfaatkan AI, GREYVIBE bukanlah tim operasi spionase yang sempurna. WithSecure menemukan banyak kesalahan keamanan operasional yang mencolok. Operator grup ini mengunggah malware ke layanan publik, meninggalkan artefak pengembangan dengan nama konyol seperti "letsrollboyos", "totallyunsus", dan "cuteuwu".
Dalam sebuah own goal yang ironis, cacat desain pada malware bernama LegionRelay—yang diduga dikembangkan dengan bantuan LLM—justru membuka sebagian infrastruktur backend mereka. Hal ini memungkinkan peneliti WithSecure memantau aktivitas grup tersebut dalam jangka waktu yang lama.
Dilema Industri Keamanan: AI Membuat Peretas Lebih Cepat atau Lebih Pintar?
Temuan ini muncul di tengah perdebatan sengit di industri keamanan siber: apakah AI akan melahirkan generasi baru operator siber elit, atau sekadar membuat penjahat yang sudah ada menjadi lebih cepat dan produktif? Kasus GREYVIBE, menurut WithSecure, condong ke kategori kedua. Grup ini memang mampu mempercepat siklus pengembangan dan menutup celah kemampuan teknis, tetapi kesalahan mendasar dalam keamanan operasional mereka membuktikan bahwa AI belum bisa menggantikan disiplin dan pengalaman.
Bagi Indonesia, temuan ini menjadi pengingat bahwa ancaman siber yang memanfaatkan AI generatif bukan lagi fiksi ilmiah. Dengan semakin mudahnya akses ke alat-alat AI, kelompok peretas dengan sumber daya terbatas sekalipun kini bisa melancarkan serangan yang lebih terstruktur dan sulit dideteksi. Laporan WithSecure ini adalah contoh nyata bahwa di era AI, garis antara peretas amatir dan profesional semakin kabur—dan kesalahan sekecil apa pun bisa menjadi celah bagi peneliti untuk membongkar seluruh operasi.
