Kelompok peretas yang berafiliasi dengan Korea Utara (Korut), yakni UNC1069, menjalankan kampanye terarah dengan memanfaatkan video hasil kecerdasan buatan (artificial intelligence/AI) serta teknik ClickFix—sebuah metode serangan siber terbaru yang menipu korban agar menjalankan perangkat lunak berbahaya (malware). Operasi ini ditujukan untuk mendistribusikan malware pada sistem operasi macOS dan Windows dengan sasaran sektor mata uang kripto.

Motif dari aktor ancaman tersebut bersifat finansial, yang tercermin dari penggunaan berbagai alat dalam serangan terhadap perusahaan teknologi finansial (financial technology/fintech). Aktivitas ini terungkap melalui investigasi yang dilakukan oleh peneliti dari firma keamanan siber Mandiant, anak perusahaan Google.

Dalam proses penyelidikan, para peneliti mengidentifikasi tujuh varian keluarga malware macOS yang berbeda dan mengaitkan aktivitas tersebut dengan UNC1069, kelompok ancaman yang telah mereka pantau sejak 2018. Serangan ini juga mengandung elemen rekayasa sosial (social engineering) yang kuat, di mana korban dihubungi melalui layanan pesan Telegram menggunakan akun yang telah diretas milik seorang eksekutif perusahaan kripto.

Setelah menjalin komunikasi dan membangun kepercayaan, peretas kemudian membagikan tautan Calendly—platform penjadwalan pertemuan—yang mengarahkan korban ke halaman rapat Zoom palsu yang dihosting pada infrastruktur milik penyerang. Berdasarkan keterangan target, pelaku menayangkan video deepfake, yaitu konten manipulatif berbasis AI, yang menampilkan sosok chief executive officer (CEO) dari perusahaan kripto lain.

“Setelah bergabung dalam ‘rapat,’ panggilan video palsu tersebut menciptakan skenario yang membuat pengguna percaya bahwa mereka mengalami gangguan audio,” ujar peneliti Mandiant, sebagaimana dikutip dari Bleeping Computer, Rabu (11/2/2026).

Dengan alasan tersebut, penyerang mengarahkan korban untuk memperbaiki masalah melalui perintah yang tersedia di situs web. Mandiant menemukan bahwa halaman tersebut memuat instruksi untuk sistem Windows dan macOS yang akan memicu rangkaian proses infeksi (infection chain).

Di sisi lain, peneliti dari perusahaan keamanan siber Huntress juga mendokumentasikan pola serangan serupa pada pertengahan 2025 dan mengaitkannya dengan kelompok BlueNoroff—kelompok peretas asal Korea Utara lainnya yang dikenal pula dengan nama Sapphire Sleet—yang menargetkan sistem macOS menggunakan berbagai jenis muatan (payload) berbeda.