MalTerminal, Malware Pertama yang Gunakan GPT-4

Kemajuan teknologi Artfiicial Intelligence (AI) kini telah sampai pada titik yang belum pernah terpikir sebelumnya, bahkan menjadi alat bagi pelaku kejahatan siber. Dalam sebuah penemuan mengejutkan, para peneliti keamanan menemukan malware baru bernama “MalTerminal”, yang mampu menggunakan GPT-4 untuk membuat kode berbahaya secara real-time.

Temuan ini menjadi peringatan keras bagi dunia keamanan digital: kini, ancaman siber tidak hanya datang dari manusia, tetapi juga dari kecerdasan buatan yang dapat menulis, menyesuaikan, dan memodifikasi kode berbahaya secara otomatis.

 
Awal Penemuan MalTerminal

Tim SentinelLABS, sebuah divisi riset keamanan dari SentinelOne, menemukan sampel malware yang tidak biasa ketika menganalisis sejumlah file Python mencurigakan di platform VirusTotal. Setelah ditelusuri, mereka mendapati bahwa malware tersebut tidak menyimpan kode berbahaya secara langsung, melainkan menggunakan API OpenAI GPT-4 untuk menghasilkan kode secara dinamis saat dijalankan.

Dengan kata lain, logika berbahaya tidak lagi “tersimpan” di dalam malware, tetapi dibuat oleh AI di saat runtime.

Inilah yang menjadikan MalTerminal berbeda dari malware lain. Ia tidak hanya meniru perilaku manusia, tetapi meminta AI untuk menulis sendiri instruksi berbahaya seperti pembuatan ransomware atau pembuatan reverse shell (akses jarak jauh ke komputer korban).

SentinelLABS pun menamakan malware ini MalTerminal, karena perannya yang menyerupai “terminal” tempat operator dapat berinteraksi langsung dengan GPT-4 untuk menghasilkan serangan yang diinginkan.

 
Bagaimana MalTerminal Bekerja

MalTerminal beroperasi dengan cara yang sangat cerdas dan fleksibel. Saat dijalankan, malware ini akan meminta operatornya untuk memilih jenis serangan yang ingin dilakukan:

• Ransomware, untuk mengenkripsi file korban dan meminta tebusan.
• Reverse shell, untuk memberi penyerang kendali jarak jauh atas sistem korban.

Setelah pilihan dibuat, malware kemudian mengirimkan prompt ke GPT-4 melalui API, meminta model AI tersebut untuk membangun kode berbahaya yang sesuai.

Hasil dari permintaan itu akan diubah menjadi skrip Python atau kode biner yang langsung dijalankan pada perangkat korban.

Metode ini meningkatkan tingkat adaptasi karena setiap eksekusi bisa menghasilkan kode yang berbeda, membuat sistem keamanan sulit mendeteksi pola yang konsisten.

 
Perbedaan Malware LLM-enabled dan Malware Konvensional

Sebelumnya, AI telah digunakan untuk berbagai kegiatan jahat seperti menulis email phishing, membuat deepfake, atau menghasilkan teks penipuan. Namun, MalTerminal membawa hal itu ke tingkat baru.

Jika malware konvensional berisi instruksi berbahaya yang tertulis langsung di dalam kodenya, malware LLM-enabled seperti MalTerminal menyembunyikan niat jahatnya di balik interaksi dengan AI eksternal. Artinya, tidak ada tanda-tanda kode berbahaya sampai program dijalankan dan GPT-4 memberikan hasilnya.

Dampaknya sangat besar bagi industri keamanan siber. Sistem deteksi tradisional seperti antivirus yang mengandalkan signature (pola kode tetap) akan kesulitan mengenali ancaman yang berubah-ubah setiap kali dijalankan.

 
Dari PromptLock hingga LameHug: Jalan Menuju MalTerminal

Peneliti menyebut bahwa sebelum munculnya MalTerminal, sudah ada beberapa eksperimen malware berbasis LLM seperti:

• PromptLock, sebuah proof-of-concept ransomware yang memanfaatkan model AI untuk membuat instruksi enkripsi.
• LameHug (atau dikenal juga sebagai PROMPTSTEAL), dikaitkan dengan kelompok peretas Rusia APT28, yang menggunakan prompt untuk menjalankan perintah sistem dan mencuri data.

Kedua proyek tersebut menjadi pondasi bagi pengembangan malware yang lebih kompleks.

Namun, MalTerminal adalah yang pertama mengintegrasikan langsung model GPT-4 ke dalam payload malware. Ini membuatnya bukan sekadar konsep, tetapi ancaman nyata yang dapat beroperasi secara mandiri menggunakan kekuatan AI generatif.

 
Metode Penelusuran SentinelLABS

Penemuan MalTerminal tidak terjadi secara kebetulan. SentinelLABS mengembangkan pendekatan baru dalam threat hunting — bukan lagi mencari potongan kode berbahaya, tetapi mendeteksi integrasi LLM di dalam file mencurigakan.

Mereka menulis aturan YARA (sistem deteksi berbasis pola) yang dapat menemukan elemen seperti:

• API key dari penyedia LLM (OpenAI, Anthropic, dll).
• Struktur prompt yang mencurigakan (misalnya, instruksi untuk membuat malware).

Selama satu tahun penelusuran, mereka menemukan lebih dari 7.000 sampel dengan API key tertanam. Sebagian besar hanyalah kesalahan pengembang, tetapi beberapa menunjukkan niat jahat.

Salah satu sampel yang mencolok berisi beberapa API key sekaligus, taktik umum malware agar tetap berfungsi meskipun salah satu kunci diblokir. Setelah dianalisis lebih lanjut, mereka menemukan skrip Python dan berkas executable Windows yang kemudian diberi nama MalTerminal.exe.

 
Analisis Teknis MalTerminal

Peneliti menemukan bahwa MalTerminal menggunakan API lama OpenAI (Chat Completion Endpoint) yang sudah dihentikan pada November 2023. Ini mengindikasikan bahwa malware dikembangkan sebelum tanggal tersebut, menjadikannya sampel pertama yang diketahui secara publik menggunakan GPT-4 secara langsung untuk membuat kode berbahaya.

Beberapa file penting yang ditemukan antara lain:

Menariknya, di antara berkas-berkas berbahaya tersebut, peneliti juga menemukan alat pertahanan siber yang mungkin digunakan pengembang untuk menguji kemampuan deteksi malware mereka sendiri.

 
Tantangan Baru dalam Dunia Keamanan Siber

Kemunculan malware seperti MalTerminal membuka babak baru dalam keamanan digital. Sistem deteksi tradisional yang mengandalkan pola tetap kini menjadi tidak efektif, karena kode berbahaya dihasilkan secara unik setiap kali malware dijalankan.

Selain itu, lalu lintas jaringan yang digunakan MalTerminal untuk mengakses API GPT-4 tidak dapat dengan mudah dibedakan dari lalu lintas sah. Akibatnya, sulit bagi tim keamanan untuk memblokir akses tanpa mengganggu layanan AI yang legitimate.

Namun, di sisi lain, malware jenis ini juga memiliki kelemahan struktural.
Ketergantungannya pada API eksternal berarti jika API key diblokir atau dicabut, malware tidak akan berfungsi.

Dengan kata lain, jika OpenAI mendeteksi penyalahgunaan dan menonaktifkan API terkait, maka MalTerminal akan kehilangan “otaknya”.

Peneliti juga menemukan bahwa jejak integrasi LLM seperti API key, prompt, dan parameter koneksi dapat menjadi petunjuk penting dalam mendeteksi malware serupa di masa depan.

 
Ancaman yang Berkembang: Dari Ransomware hingga AI Agents

Dalam penyelidikan lanjutan, SentinelLABS juga menemukan alat ofensif lain berbasis LLM, seperti:

• Vulnerability injector: alat yang dapat menyisipkan celah keamanan ke dalam aplikasi target.
• People search agent: agen pencarian identitas manusia yang bisa digunakan untuk melakukan social engineering lebih efektif.

Semua alat ini bekerja dengan pola yang sama: memanfaatkan kemampuan bahasa alami model AI untuk menjalankan perintah berbahaya tanpa perlu menyimpan kode eksplisit.

 
Menuju Era Malware Buatan AI

Meskipun MalTerminal masih tergolong eksperimen, keberadaannya menunjukkan perubahan mendasar dalam lanskap ancaman digital.
Di masa depan, AI generatif bisa menjadi “senjata siber” yang mampu menulis dan menyesuaikan malware secara otomatis, bahkan tanpa campur tangan manusia langsung.

Bagi komunitas keamanan, hal ini berarti mereka harus mengembangkan strategi pertahanan baru — bukan hanya mendeteksi kode berbahaya, tetapi juga memahami perilaku interaktif antara sistem dan model AI.

Para peneliti menyarankan pendekatan kolaboratif antara:

• Penyedia LLM (seperti OpenAI, Anthropic, Google, dan lainnya) untuk memperkuat sistem keamanan API mereka.
• Peneliti keamanan dan lembaga hukum, untuk membuat standar dan mekanisme deteksi dini.
• Pengembang perangkat lunak, agar berhati-hati saat menyimpan API key dan tidak membocorkannya secara publik.

Penemuan MalTerminal menjadi bukti nyata bahwa kecerdasan buatan adalah pedang bermata dua. Di satu sisi, AI seperti GPT-4 membawa revolusi besar dalam efisiensi, produktivitas, dan inovasi. Namun di sisi lain, teknologi ini juga bisa dimanfaatkan oleh pihak yang salah untuk menciptakan ancaman siber yang sulit dideteksi.

Era malware buatan AI telah dimulai. Namun, dengan pemahaman yang mendalam dan kerja sama lintas sektor, dunia siber masih punya peluang besar untuk tetap berada selangkah lebih maju dari para peretas.