Peneliti keamanan dari Trend Micro mengungkap kampanye influensi dan penipuan digital berlabel “Patriot Bait” yang telah beroperasi selama 5 tahun, dijalankan oleh satu pelaku berbahasa Rusia secara solo. Pelaku memanfaatkan Telegram, AI berbasis jailbroken Google Gemini, dan dompet kripto palsu untuk menargetkan audiens Amerika — mengumpulkan kredensial, menjalankan skema pump-and-dump kripto, dan membangun jaringan penipuan yang terotomasi secara signifikan.
APA YANG TERJADI?
Kampanye Patriot Bait berawal dari sebuah channel Telegram bernama @americanpatriotus yang berisi konten bernada nasionalis Amerika. Channel ini berhasil mengumpulkan sekitar 17.000 subscriber selama 5 tahun beroperasi. Di balik persona palsu “bandcampro”, pelaku menggunakan channel ini sebagai platform untuk menyebarkan malware, mengumpulkan kredensial, dan mempromosikan skema investasi kripto penipuan.
Sejak September 2025, pelaku memperkuat operasinya dengan mengintegrasikan AI — secara spesifik menggunakan Google Gemini yang telah di-jailbreak untuk menghindari safety guardrails. AI ini digunakan sebagai “co-pilot” yang membantu mengotomasi pembuatan konten Telegram, menjalankan brute-force terhadap WordPress, mengelola pencurian kredensial, dan bahkan mengembangkan malware berupa dompet kripto palsu bernama StellarMonster yang berfungsi sebagai Remote Access Trojan (RAT).
DETAIL TEKNIS
Arsitektur teknis Patriot Bait menunjukkan tingkat sofistikasi yang tidak lazim untuk operasi solo. Pelaku mengembangkan “QFS 2.0 Terminal” — sebuah chatbot berbasis Telegram yang memanfaatkan jailbroken Gemini sebagai backend. Chatbot ini memungkinkan pelaku mengoperasikan seluruh rantai serangan dari antarmuka Telegram, termasuk menjalankan WordPress brute-force yang berhasil membobol 29 situs WordPress, mengelola 73 kunci API Gemini curian, dan mengontrol distribusi StellarMonster RAT.
StellarMonster RAT menyamar sebagai dompet kripto Stellar yang legitimate. Ketika korban mengunduh dan menjalankan aplikasi palsu ini, RAT yang tersembunyi di dalamnya mengeksekusi pencurian kredensial, mengakses browser storage, dan mengirim data yang terkumpul ke server C2 yang dikendalikan pelaku. Data curian ini kemudian digunakan untuk menjalankan skema pump-and-dump — di mana token kripto tertentu dipromosikan secara agresif ke subscriber Telegram, harganya dinaikkan secara artifisial, dan pelaku menjual holdings-nya sebelum harga jatuh.
Teknik jailbreaking yang digunakan pelaku melibatkan prompting dalam bahasa non-Inggris untuk melewati safety filter Gemini. Pendekatan ini memanfaatkan kelemahan pada sistem moderasi bahasa multi-lingual LLM — di mana kontrol keamanan seringkali lebih longgar untuk bahasa selain Inggris. Kunci API Gemini yang dicuri (73 kunci teridentifikasi) digunakan untuk mendistribusikan beban permintaan AI, sehingga menghindari rate limit dan deteksi oleh Google.
DAMPAK TERHADAP INDONESIA
Meskipun kampanye Patriot Bait secara langsung menargetkan audiens Amerika, pola dan teknik yang digunakan memiliki relevansi tinggi terhadap ancaman siber di Indonesia. Kasus ini menunjukkan bagaimana satu pelaku solo dapat membangun operasi yang canggih dan terotomasi dengan bantuan AI — sebuah tren yang semakin mengkhawatirkan di tengah adopsi AI yang berkembang pesat di Indonesia. Google Gemini dan LLM lainnya banyak digunakan oleh pengguna Indonesia, dan jika safety guardrails dapat di-jailbreak melalui teknik prompting sederhana, maka risiko eksploitasi AI untuk aktivitas berbahaya menjadi sangat nyata.
Skema pump-and-dump kripto yang dijalankan Patriot Bait juga relevan dengan kondisi Indonesia, di mana investasi aset kripto telah dilegalkan oleh Bappebti dan jumlah investor kripto terus meningkat. Kementerian Kominfo dan OJK telah beberapa kali memperingatkan masyarakat tentang penipuan investasi kripto palsu — dan kasus ini menunjukkan bahwa teknik tersebut kini dapat diotomasi dengan AI. Selain itu, penggunaan Telegram sebagai platform operasional utama sangat relevan mengingat Telegram merupakan salah satu aplikasi pesan paling populer di Indonesia, dan kerap dimanfaatkan untuk distribusi malware dan rekrutmen botnet.
REKOMENDASI MITIGASI
Untuk melindungi diri dari kampanye serupa, pengguna dan organisasi di Indonesia harus menerapkan beberapa langkah: pertama, verifikasi selalu kredibilitas aplikasi kripto — unduh hanya dari sumber resmi dan periksa apakah developer telah terverifikasi di store. Kedua, waspadai promosi kripto yang berlebihan di Telegram dan media sosial, terutama yang menjanjikan keuntungan cepat. Ketiga, organisasi harus mengimplementasikan MFA pada semua akun WordPress dan membatasi akses login berdasarkan IP. Keempat, vendor LLM perlu memperkuat safety guardrails mereka terhadap jailbreaking multi-bahasa, termasuk dalam bahasa Indonesia dan bahasa lokal lainnya. Kelima, gunakan endpoint security yang mampu mendeteksi StellarMonster RAT dan sejenisnya yang menyamar sebagai aplikasi legitimate.
Analisa Retasan
Patriot Bait menjadi studi kasus penting tentang konvergensi social engineering dan AI. Pelaku solo berhasil membangun operasi 5 tahun yang menargetkan 17.000 subscriber hanya dengan satu channel Telegram dan beberapa script — sebuah efisiensi operasional yang tidak mungkin dicapai sebelum era AI. Integrasi jailbroken Gemini sebagai ko-pilot mengubah dinamika fundamental: tugas-tugas yang sebelumnya membutuhkan beberapa pelaku — seperti pembuatan konten, menjalankan brute-force, mengelola malware, dan mengkoordinasi skema keuangan — kini dapat dijalankan oleh satu orang dengan bantuan AI. Ini mengingatkan pada tren serupa yang diamati dalam kampanye influence operation Rusia sebelumnya, namun dengan eskalasi kemampuan teknis yang signifikan.
Dari sisi teknis, jailbreaking Gemini melalui prompting non-Inggris mengungkap kelemahan fundamental dalam pendekatan safety alignment LLM saat ini. Moderasi konten pada LLM masih sangat bergantung pada kemampuan memahami instruksi berbahaya dalam bahasa Inggris — sementara instruksi dalam bahasa lain seringkali luput dari deteksi. Ini bukan sekadar masalah teknis, melainkan kerentanan desain yang berdampak pada miliaran pengguna di seluruh dunia. Teknik ini sejalan dengan tren jailbreaking LLM lain yang diamati oleh komunitas peneliti, termasuk technique “multilingual bypass” yang pertama kali didokumentasikan pada tahun 2024. Penyitaan 73 kunci API Gemini juga menunjukkan skala operasi yang melampaui apa yang biasanya terlihat dalam kampanye cybercrime solo.
Implikasi terhadap Indonesia perlu dipahami dalam konteks yang lebih luas. Ekosistem kripto Indonesia yang berkembang — dengan legalitas yang diakui Bappebti dan ribuan aset kripto yang diperdagangkan — menjadi lahan subur bagi skema pump-and-dump yang diotomasi AI. Sementara itu, penggunaan Telegram sebagai platform operasional utama menuntut perhatian khusus dari Kementerian Kominfo dan aparat penegak hukum siber Indonesia. Pelaku seperti ini dapat dengan mudah mengadaptasi kampanye mereka untuk menargetkan audiens Indonesia — mengganti tema nasionalis Amerika dengan narasi lokal yang relevan, dan menggunakan LLM bahasa Indonesia yang sama-sama rentan terhadap jailbreaking. BSSN dan lembaga terkait perlu mempertimbangkan kerangka regulasi yang mengatur penggunaan AI untuk aktivitas berbahaya, termasuk mandatory reporting terhadap insiden AI-assisted cybercrime.