
Aktor China menggunakan Claude Code dan DeepSeek untuk mengotomatiskan serangan yang berhasil menembus sistem pemerintah dan menargetkan firma keuangan di beberapa negara. Peneliti Hunt.io menemukan kampanye intrusi aktif yang memanfaatkan model AI sebagai bagian integral dari rantai eksploitasi, bukan sekadar alat bantu sampingan.
APA YANG TERJADI?
Peneliti Hunt.io menemukan kampanye intrusi aktif pada Juni 2026 saat melakukan pivot terhadap infrastruktur C2 TencShell yang diketahui. Satu fingerprint HTTP header pada port 1111 mengarahkan mereka ke 13 server berbasis Hong Kong, dan di salah satunya ditemukan direktori terbuka berisi 2.431 file dan 80 subdirektori: source code korban, skrip exploit kustom, halaman login yang di-clone, dan log operator dengan catatan dalam bahasa Mandarin Sederhana. Temuan ini mengungkap penggunaan Claude Code 2.1.165 dan DeepSeek-v4-pro sebagai komponen kerja aktif dalam intrusi, yang menangani reasoning untuk teknik bypass, merombak exploit setelah kegagalan, dan membangun halaman phishing untuk mengumpulkan kredensial.
Log yang berhasil dipulihkan menunjukkan bahwa penyerang membagi pekerjaan antara dua model AI. Claude Code menangani eksekusi dengan menjalankan perintah Bash, mengelola sesi jangka panjang, menjalankan tugas secara paralel, dan membuat infrastruktur phishing. DeepSeek menangani perencanaan dengan menghasilkan skrip, memilih teknik serangan, dan menemukan cara baru untuk melewati pertahanan ketika percobaan sebelumnya gagal.
DETAIL TEKNIS
Di Thailand, penyerang menggunakan SQLMap untuk mengeksploitasi sistem administrasi pemerintah melalui SQL injection, memperoleh akses panel admin, dan men-deploy web shell yang menyamar sebagai file GIF untuk eksekusi perintah persisten. Database yang dieksfiltrasi berisi nama, nomor identitas nasional, dan jabatan pegawai pemerintah. Di Afghanistan, aplikasi web pemerintah yang menangani pengaduan warga diretas, dengan ekstraksi source code, kredensial database, kunci enkripsi, dan kode infrastruktur email dari instalasi Laravel 5.8.38.
Di Taiwan, delapan organisasi dalam sektor supply chain dan pertahanan dipetakan, dengan dua berhasil dieksploitasi melalui SQL injection. Rekonnaissance yang dilakukan mencakup brute-force DNS, kueri certificate transparency, dan fingerprinting layanan HTTP dengan penekanan pada gateway VPN, instance GitLab, dan lingkungan Jira. Kampanye paralel juga menargetkan firma layanan keuangan di Eropa, Australia, dan Asia, dengan halaman exploit CORS yang berhasil mengekstrak kredensial administrator WordPress dari platform pemrosesan pembayaran besar.
Infrastruktur serangan berada di 13 server Hong Kong yang tersebar di empat penyedia hosting. Tiga server berbagi fingerprint host key SSH dan menjalankan software rekonnaissance ARL yang identik dengan sertifikat TLS default yang mengarah ke Shanghai. Dua server dalam cluster juga menyajikan sertifikat yang mengidentifikasi diri sebagai “Gshell C2,” sebuah framework C2 yang belum pernah didokumentasikan sebelumnya.
DAMPAK TERHADAP INDONESIA
Kampanye spionase siber yang didukung AI ini memiliki implikasi langsung bagi Indonesia. Sebagai negara dengan infrastruktur pemerintah digital yang terus berkembang dan kehadiran diplomatik aktif di kawasan Asia Tenggara, Indonesia menjadi target potensial bagi aktor spionase state-sponsored. BSSN telah berulang kali memperingatkan tentang peningkatan serangan terhadap infrastruktur pemerintah Indonesia, dan penggunaan AI oleh penyerang menambah lapisan kompleksitas baru dalam pertahanan siber nasional. UU PDP dan SKKNI Siber mewajibkan organisasi untuk melindungi data sensitif, namun kemampuan AI dalam mengotomatiskan reconnaissance dan exploit development sangat menggeser keseimbangan kekuatan antara penyerang dan pembela. Indonesia perlu mempertimbangkan integrasi kemampuan AI defensif, termasuk SOAR dan XDR berbasis AI, untuk mengimbangi evolusi serangan ini.
REKOMENDASI MITIGASI
Organisasi harus mengimplementasikan perlindungan terhadap SQL injection melalui prepared statement dan input validation yang ketat. Untuk aplikasi web berbasis Laravel, pastikan tidak ada source code atau kredensial yang terekspos ke publik. Terapkan monitoring terhadap aktivitas certificate transparency dan brute-force DNS pada infrastruktur web. Implementasi Zero Trust Architecture dengan segmentasi jaringan yang ketat dapat membatasi dampak kompromi awal. Selain itu, organisasi perlu memantau IOC terkait infrastruktur Hong Kong yang diidentifikasi dalam kampanye ini, termasuk domain dan IP yang terkait.
Analisa Retasan
Kampanye ini menandai tonggak penting dalam evolusi spionase siber: penggunaan LLM bukan sebagai alat bantu, melainkan sebagai komponen integral dari chain serangan. Pemisahan peran antara Claude Code untuk eksekusi dan DeepSeek untuk reasoning menunjukkan arsitektur yang matang dan terencana. Hal ini mengingatkan pada pengungkapan Anthropic pada November 2025 tentang operasi China yang menggunakan Claude Code untuk mengotomatiskan intrusi berskala besar, namun kali ini dengan penambahan DeepSeek sebagai reasoning engine. Fakta bahwa “offensive logic dirutekan melalui LLM domestik China sambil memanfaatkan infrastruktur eksekusi agentic Anthropic” menunjukkan pemahaman yang cermat tentang bagaimana memanfaatkan layanan AI barat sambil menjaga data sensitif di dalam ekosistem domestik.
Dari perspektif teknis, kemampuan untuk menggunakan AI secara real-time dalam loop exploit – di mana DeepSeek menganalisis kegagalan exploit dan menghasilkan pendekatan baru, sementara Claude Code mengeksekusi dan memvalidasi – menunjukkan paradigm baru dalam offensive security. Pola ini berbeda dari pendekatan tradisional di mana exploit dikembangkan secara statis sebelum deployment. Sebagai perbandingan, kemampuan serupa mulai diamati dalam konteks red team tooling komersial, namun adopsi oleh aktor state-sponsored dalam operasi live menunjukkan gap signifikan dalam kemampuan pertahanan. Integrasi CLAUDE.md sebagai konfigurasi persisten untuk kampanye phishing multi-target juga menunjukkan pemahaman mendalam tentang workflow AI yang efisien.
Implikasi terhadap Indonesia sangat substansial. Penggunaan AI oleh penyerang state-sponsored berarti bahwa time-to-exploit dan time-to-compromise semakin menyusut, sementara attack surface Indonesia terus membesar dengan adopsi cloud, mobile banking, dan infrastruktur pemerintah digital. BSSN perlu mempertimbangkan peningkatan kapabilitas deteksi yang menggunakan AI defensif untuk mengimbangi AI ofensif yang digunakan penyerang. Selain itu, kerja sama intelijen siber regional melalui mekanisme seperti ASEAN-Singapore Cybersecurity Centre of Excellence (ASCCE) menjadi semakin penting, mengingat kampanye ini secara aktif menargetkan negara-negara di kawasan Asia-Pasifik termasuk Taiwan, Thailand, dan organisasi Australia.
Sumber: Security Affairs – Claude Code and DeepSeek Powered Chinese Cyber Espionage Campaign


