“Gaslight is a warning signal: as AI enters security operations, attackers are starting to target the AI layer itself.”
Seperti quote di atas, Gaslight adalah sebuah malware di lingkuyang dibuat menggunakan bahasa Rust yang menyisipkan payload prompt injection yang dirancang untuk membingungkan dan menipu tool AI milik security analist agar membatalkan atau menolak analisis.Mengutip laporan dari SentinelOne Labs, Gaslight diduga kuat berasal dari group hacker yang berafiliasi dengan kelompok cyber crime Korea Utara.
Malware ini memiliki kemampuan unik: dia bukan hanya mencuri data, tapi juga mencoba menipu sistem AI yang digunakan analis malware agar menghentikan proses analisisnya itu sendiri. Dia akan membuat semacam embedded cascade system-failure messages palsu. Ini menjadi sinyal bahwa AI-assisted security pipeline mulai menjadi target baru cyber attack .
Gaslight menggunakan Telegram bot sebagai channel command-and-control (C2). Melalui mekanisme polling, attacker bisa memberikan perintah jarak jauh dan menerima hasil eksekusinya. Menurut analisa SentinelOne setidaknya ada 6 remote command yang digunakan malware ini, yaitu:
- help, menampilkan pesan bantuan untuk semua command yang ada
- id, untuk identifikasi target ke si attacker
- shell, untuk eksekusi shell command via execvp
- kill, untuk terminate target process berdasarkan PID
- upload, untuk transfer file ke attacker via mekanisme “attach://” Telegram
- stop, untuk menghentikan eksekusi malware di mesin target
Selain itu, malware ini juga memanfaatkan LaunchAgent macOS untuk menyamarkan dirinya supaya tidak mudah dikenali.
