Di tengah derasnya serangan siber global, satu jenis malware muncul sebagai ancaman yang diam-diam tapi mematikan: infostealer. Jenis malware ini tidak hanya mencuri kata sandi dan cookie sesi, tetapi juga mengambil alih identitas digital penggunanya. Pada tahun 2024 saja, lebih dari 29 juta stealer logs dilaporkan di forum kejahatan siber. Jumlah ini menandakan bahwa upaya manual untuk menganalisis setiap kasus sudah tidak lagi mungkin dilakukan. Namun sebuah penelitian terbaru dari Flare Systems (Kanada) memperkenalkan terobosan baru: penggunaan AI LLM (Large Language Model) untuk mengungkap pola serangan Aurora Infostealer hanya dari screenshot yang diambil pada saat infeksi terjadi.
Aurora Infostealer adalah varian malware pencuri data (data-stealing malware) yang dirancang untuk mengambil informasi sensitif dari komputer korban, seperti kredensial login, cookie sesi, riwayat browser, hingga data pribadi. Berbeda dengan infostealer pada umumnya, Aurora memiliki fitur tambahan yang jarang ditemukan pada malware lain—kemampuan untuk mengambil screenshot otomatis dari layar korban pada saat infeksi terjadi. Fitur ini awalnya digunakan pelaku untuk memantau efektivitas serangan, namun kini justru menjadi sumber intelijen visual yang sangat berharga bagi analis keamanan siber.
Menurut penelitian “LLM-Based Identification of Infostealer Infection Vectors from Screenshots: The Case of Aurora” yang ditulis oleh Ruellan et al. (Flare Systems, 2025), lebih dari 62 juta log infostealer, sekitar 25% berisi screenshot korban, dan Aurora tercatat sebagai salah satu varian dengan proporsi tertinggi—lebih dari 62% log-nya mengandung screenshot aktif. Data ini menunjukkan bahwa Aurora tidak hanya mencuri data, tetapi juga mendokumentasikan konteks infeksi secara visual, termasuk situs web, file installer, atau aktivitas pengguna sesaat sebelum sistem terinfeksi.
Pendekatan ini menjadikan Aurora lebih berbahaya sekaligus lebih mudah ditelusuri. Dalam penelitian tersebut, model AI LLM (Large Language Model) digunakan untuk menganalisis ribuan screenshot dari log infeksi Aurora dan berhasil mengekstraksi indikator kompromi (IoC) seperti URL berbahaya, file executable, serta pola distribusi malware. Metode serupa juga mulai dikaji dalam riset seperti “Harnessing LLMs for IoT Malware Detection” oleh Omar et al. (2024) dan “AppPoet: Large Language Model Based Android Malware Detection” oleh Zhao et al. (2025), yang sama-sama menunjukkan potensi LLM dalam mendeteksi ancaman berbasis konteks visual maupun perilaku sistem. Dengan kata lain, Aurora Infostealer tidak hanya mengubah cara serangan dilakukan, tetapi juga mendorong evolusi cara dunia keamanan siber memahami dan menganalisis ancaman digital masa kini.
Baca juga: Meningkatkan Transparansi Deteksi Malware dengan Explainable AI
Penelitian Ruellan et al. (2025) menggunakan model GPT-4o-mini, sebuah varian LLM yang mampu memahami konteks visual dan teks secara bersamaan. Tim peneliti mengumpulkan 1.000 screenshot dari komputer yang terinfeksi Aurora Infostealer, lalu mengonversinya ke format base64 agar bisa diproses oleh model.
Tujuannya adalah untuk melihat sejauh mana AI dapat mengenali elemen-elemen yang muncul di layar korban saat infeksi terjadi, dan mengubah gambar statis tersebut menjadi data yang bisa dianalisis secara sistematis. Dalam prosesnya, model LLM diberi instruksi untuk mendeskripsikan isi setiap gambar menggunakan format terstruktur yang mencakup beberapa kategori berikut:
Pendekatan ini menghasilkan keluaran yang sangat rinci. Dalam salah satu contoh, model mendeteksi video “ESET NOD32 ANTIVIRUS CRACK 2023” di YouTube yang disertai tautan unduhan mencurigakan menuju cutt.ly/NOD-32, dan langsung menandainya sebagai potensi vektor infeksi. Analisis semacam ini menunjukkan bagaimana AI LLM dapat mengubah screenshot dari sekadar bukti pasif menjadi intelijen aktif, yang membantu tim keamanan siber mendeteksi pola serangan, memetakan vektor infeksi, dan menindaklanjuti ancaman dengan skala yang jauh lebih cepat dan efisien dibandingkan analisis manual.
Ruellan et al. (2025) menilai performa model GPT-4o-mini dalam mengenali pola infeksi Aurora Infostealer melalui analisis ribuan screenshot. Evaluasi ini bertujuan untuk mengetahui sejauh mana kemampuan AI LLM dalam mengidentifikasi indikator kompromi (IoC) secara otomatis, termasuk file berbahaya, URL mencurigakan, serta elemen sosial rekayasa yang sering menjadi pintu masuk malware. Hasilnya menunjukkan bahwa model ini mampu memproses data visual secara presisi dan memberikan deskripsi yang hampir menyerupai analisis manusia. Empat aspek utama yang diuji dalam penelitian tersebut meliputi:
Secara keseluruhan, AI LLM dalam studi ini berhasil mengekstraksi 337 URL berbahaya dan 246 file relevan, yang kemudian digunakan untuk mengungkap tiga kampanye malware global berbasis Aurora Infostealer. Temuan ini menunjukkan bahwa teknologi LLM tidak hanya efektif dalam mengenali pola teknis serangan, tetapi juga mampu menafsirkan konteks sosial rekayasa di baliknya—membuka peluang baru untuk mengotomatisasi analisis ancaman siber dengan kecepatan dan ketepatan tinggi.
Setelah ribuan screenshot infeksi Aurora Infostealer dianalisis dalam penelitian Ruellan et al. (2025) menggunakan model AI LLM GPT-4o-mini, para peneliti menemukan bahwa sebagian besar serangan tidak bergantung pada eksploitasi teknis yang kompleks, melainkan pada rekayasa sosial dan perilaku pengguna. AI berhasil mengidentifikasi dua pola serangan dominan yang digunakan oleh pelaku untuk menyebarkan malware, yakni penyamaran sebagai perangkat lunak bajakan dan modifikasi permainan (gaming mods). Kedua pendekatan ini terbukti efektif karena memanfaatkan rasa ingin tahu serta keinginan pengguna untuk mendapatkan akses gratis terhadap software atau fitur premium.
Pola pertama yang paling sering ditemukan adalah distribusi malware yang menyamar sebagai software bajakan atau versi crack dari aplikasi populer. Dalam banyak kasus, pengguna yang mencari versi gratis dari software seperti Adobe Creative Suite, Microsoft Office, Filmora, VEGAS Pro, atau Midjourney AI Generator diarahkan ke situs unduhan palsu yang menawarkan installer “gratis”. Begitu file dijalankan, Aurora Infostealer langsung aktif mencuri data sensitif pengguna, mulai dari kata sandi hingga cookie sesi. Skema ini menjadi yang paling dominan karena memanfaatkan perilaku umum pengguna internet—menghindari lisensi berbayar tanpa memahami risiko keamanan yang menyertainya.
Pola kedua yang terungkap berasal dari ekosistem permainan daring. Aurora sering disamarkan sebagai mod, cheat, atau hack tool untuk gim populer seperti Minecraft, Roblox, Fortnite, dan Valorant. File-file seperti “ModMenu PB.rar” atau “Valorant AHK Triggerbot” digunakan untuk memancing pemain yang ingin meningkatkan performa atau membuka fitur eksklusif tanpa biaya.
Analisis AI menunjukkan bahwa banyak dari file ini berisi executable berbahaya yang langsung menginstal infostealer setelah dibuka. Karena targetnya sering kali adalah pemain muda dengan pengetahuan keamanan terbatas, metode ini sangat efektif dan menyumbang sebagian besar infeksi yang terjadi melalui kanal YouTube atau forum modding gim.
Kedua pola serangan ini memperlihatkan bahwa faktor manusia masih menjadi titik lemah terbesar dalam keamanan siber. Dengan menganalisis ribuan screenshot infeksi, AI LLM tidak hanya mampu mengidentifikasi jenis file dan situs penyebar malware, tetapi juga memahami konteks perilaku korban—mulai dari situs yang dikunjungi, jenis software yang dicari, hingga keputusan berisiko yang memicu infeksi. Pendekatan berbasis AI ini membantu tim keamanan untuk lebih fokus pada edukasi pengguna dan pencegahan sosial-teknis dibanding sekadar memperkuat lapisan pertahanan teknis.
Temuan dari penelitian Ruellan et al. (2025) menunjukkan bahwa keberhasilan Aurora Infostealer dalam menjangkau jutaan korban di seluruh dunia bukan berasal dari teknik eksploitasi sistem yang rumit, melainkan dari strategi distribusi berbasis kepercayaan. Pelaku tidak menyerang sistem melalui celah keamanan teknis, tetapi memanfaatkan platform populer dan kredibel seperti YouTube dan Google Search untuk membangun rasa aman palsu. Model AI LLM GPT-4o-mini yang digunakan dalam penelitian ini mampu mengenali pola distribusi tersebut langsung dari tangkapan layar, termasuk tampilan video tutorial, tautan unduhan, hingga hasil pencarian berbayar yang digunakan untuk menyamarkan kampanye berbahaya.
Salah satu strategi paling dominan yang terdeteksi adalah penyebaran malware melalui video tutorial palsu di YouTube. Analisis AI menemukan lebih dari 117 video yang menampilkan instruksi seperti “cara instal software gratis”, “hack game anti-ban”, atau “crack aplikasi premium”. Di kolom deskripsi video, pelaku menautkan file berbahaya yang diunggah ke platform seperti Mega.nz, Mediafire, dan Cutt.ly, sering kali disertai kalimat persuasif seperti “matikan antivirus sebelum menginstal” agar korban tidak mencurigai aktivitas malware. Screenshot yang dianalisis menunjukkan bahwa banyak korban menjalankan file dari tautan tersebut tanpa verifikasi sumber, membuktikan betapa efektifnya manipulasi psikologis berbasis konten video.
Pola kedua yang diungkap adalah pemanfaatan iklan berbayar Google (Google Ads) untuk mempromosikan situs palsu yang meniru domain resmi. Dalam banyak kasus, pengguna yang mencari software populer seperti “Java”, “Midjourney”, atau “Microsoft Office” diarahkan ke situs tiruan seperti go.java-gapp.space atau ai.mid-j0urney.org. Situs-situs ini didesain menyerupai tampilan resmi dan bahkan menggunakan logo serta elemen UI identik untuk menipu pengguna.
AI LLM mampu mengenali pola visual tersebut dari screenshot, termasuk logo Java dan tombol Download palsu yang terlihat autentik. Strategi ini dikenal dalam laporan sebagai bagian dari kampanye “Blitz Java” dan “Zero MidJourney”, yang berhasil menjaring ribuan korban hanya dalam hitungan jam berkat kepercayaan pengguna terhadap hasil pencarian Google.
Kedua pendekatan ini memperlihatkan bahwa Aurora Infostealer mengandalkan manipulasi psikologis dan platform yang sudah dipercaya publik sebagai senjata utama penyebarannya. Dengan memanfaatkan popularitas YouTube dan kredibilitas Google, pelaku tidak perlu menembus sistem pertahanan teknis untuk berhasil. Pendekatan ini juga menjadi bukti nyata bahwa keamanan siber modern tidak lagi semata-mata soal teknologi, melainkan juga soal perilaku pengguna dan literasi digital.
Berdasarkan hasil penelitian oleh Ruellan et al. (2025), model AI LLM berhasil mengidentifikasi tiga kampanye malware besar yang menggunakan Aurora Infostealer sebagai mesin infeksi utama. Setiap kampanye menunjukkan strategi berbeda dalam memanfaatkan perilaku pengguna, mulai dari pencarian software populer, eksploitasi hasil iklan berbayar, hingga video tutorial palsu di YouTube. Analisis ribuan screenshot menunjukkan bahwa pendekatan pelaku selalu menekankan rasa percaya, urgensi, dan iming-iming “gratis” sebagai kunci keberhasilan serangan.
Kampanye ini menargetkan pengguna yang mencari installer Java secara daring. Pelaku membuat situs palsu yang meniru domain resmi Java (go.java-gapp.space) dan mensponsori iklan Google agar muncul di urutan teratas hasil pencarian. Situs tersebut mengarahkan pengguna untuk menonaktifkan antivirus dan mengunduh file Java Client.zip yang berisi executable Aurora. Berdasarkan analisis screenshot, kampanye Blitz Java hanya aktif selama 19 jam pada Februari 2023, namun berhasil menjangkau ratusan pengguna global. Strategi ini menonjol karena menargetkan komunitas gamer dan pengguna Minecraft yang sering mencari “Java update” untuk menjalankan mod atau server pribadi.
Kampanye kedua memanfaatkan popularitas platform AI Art Generator Midjourney dengan membuat situs tiruan seperti ai.mid-j0urney.org. Melalui iklan berbayar dan video tutorial, pelaku menawarkan “akses gratis ke versi beta Midjourney” dan menyarankan pengguna untuk mematikan antivirus selama instalasi. Setelah file dieksekusi, Aurora langsung aktif mencuri kredensial, cookie, dan file lokal. Dari 1.000 screenshot yang dianalisis, sekitar 6,3% menunjukkan keterlibatan kampanye ini—jumlah yang signifikan mengingat konteks global dan jangkauan luas dari iklan berbayar tersebut.
Kampanye terakhir meniru Microsoft Office 2022 dan menyebar melalui video di YouTube yang menautkan file Microsoft Office Crack 2022.zip di platform Mega.nz. Arsip tersebut berisi dua file DLL, satu executable, dan satu folder data, serta dilindungi dengan password “YUKI” untuk menghindari deteksi antivirus. Analisis AI menunjukkan bahwa korban berasal dari berbagai negara dan bahasa — mulai dari Inggris, Prancis, Jepang, hingga Indonesia — menjadikannya salah satu kampanye malware paling luas. Strategi ini terbukti efektif karena menggunakan software yang dikenal dan dibutuhkan banyak orang, membuatnya tampak sah di mata pengguna.
Ketiga kampanye ini memperlihatkan pola yang konsisten: pelaku lebih mengandalkan rekayasa sosial dan kepercayaan pengguna terhadap platform populer daripada celah teknis yang rumit. Analisis screenshot berbasis AI LLM tidak hanya membantu mengungkap detail teknis dari setiap serangan, tetapi juga pola perilaku dan psikologi korban yang menjadi dasar keberhasilan Aurora Infostealer di berbagai negara.
Salah satu kesimpulan paling menarik dari penelitian Ruellan et al. (2025) adalah bahwa ancaman terbesar dalam keamanan siber modern tidak selalu datang dari eksploitasi teknis tingkat tinggi, melainkan dari manipulasi psikologis pengguna. Pelaku tidak perlu menembus sistem atau menemukan celah zero-day — cukup memanfaatkan rasa percaya korban terhadap situs dan platform populer seperti YouTube, Google Search, atau forum unduhan.
Aurora Infostealer menjadi bukti nyata bahwa rekayasa sosial yang dikemas rapi dapat menghasilkan dampak infeksi global dalam waktu singkat tanpa perlu serangan teknis yang kompleks. Dengan bantuan AI LLM, para peneliti mampu mengurai pola perilaku sosial yang berulang dan menjadi titik lemah utama dalam serangan-serangan ini, di antaranya:
Pendekatan berbasis visual forensics yang diterapkan dalam studi ini memperlihatkan bahwa bahkan tangkapan layar sederhana dapat menyimpan pola perilaku manusia yang seragam di berbagai negara dan bahasa. Hal ini membuka cara pandang baru bahwa deteksi ancaman tidak hanya bisa dilakukan dari sisi teknis atau kode, tetapi juga melalui pemahaman perilaku dan konteks visual pengguna. Dengan kata lain, masa depan keamanan siber akan bergantung pada kemampuan AI untuk membaca bukan hanya data, tetapi juga kebiasaan dan keputusan manusia yang menjadi titik awal serangan.
Meskipun hasil penelitian Ruellan et al. (2025) menunjukkan potensi besar penggunaan AI LLM dalam menganalisis artefak visual seperti screenshot infeksi, pendekatan ini masih memiliki sejumlah tantangan teknis yang perlu diatasi sebelum dapat diterapkan secara luas di dunia nyata. Model LLM, termasuk GPT-4o-mini yang digunakan dalam studi ini, terbukti efektif dalam memahami konteks visual secara umum, tetapi belum sepenuhnya optimal dalam menangkap detail kecil yang sering kali penting dalam investigasi forensik digital. Beberapa keterbatasan utama yang ditemukan meliputi:
Sebagai tindak lanjut, peneliti mengusulkan pendekatan baru yaitu menganalisis area atas screenshot, terutama bagian tab browser secara terpisah sebelum memproses keseluruhan gambar. Metode ini memungkinkan AI memahami hubungan antar-tab, pola domain, dan perilaku multi-tasking pengguna secara lebih mendalam. Rekomendasi lain yang diajukan termasuk peningkatan resolusi input, pelatihan ulang model pada dataset visual keamanan siber, serta penggabungan data teks dari log aktivitas untuk memperkuat konteks. Dengan perbaikan-perbaikan ini, pendekatan AI-driven visual forensics berpotensi menjadi standar baru dalam investigasi malware dan analisis kampanye siber di masa depan.
Pendekatan analisis berbasis screenshot memberikan keunggulan yang tidak dimiliki oleh metode deteksi tradisional, karena berfokus pada konteks visual, bukan pada kode atau tanda tangan malware. Dengan cara ini, sistem dapat mengenali pola perilaku serangan meskipun malware telah dimodifikasi atau disamarkan. Beberapa keunggulan utamanya meliputi:
Selama infostealer seperti Aurora masih mengambil screenshot dari perangkat korban, pendekatan visual forensics ini akan tetap relevan dan sulit tergantikan. Ia membuka cara baru dalam analisis ancaman — tidak lagi hanya berbasis kode, tetapi juga pada pemahaman visual perilaku serangan.
Temuan dari penelitian Ruellan et al. (2025) menunjukkan bahwa pemanfaatan AI LLM dalam analisis screenshot infeksi malware bukan sekadar inovasi teknis, melainkan langkah strategis yang dapat mengubah cara dunia menghadapi ancaman siber. Dengan kemampuan membaca konteks visual dan memahami pola perilaku manusia, AI dapat mempercepat deteksi, analisis, dan mitigasi ancaman di berbagai level organisasi. Beberapa implikasi penting bagi dunia keamanan siber antara lain:
Dengan kata lain, AI kini tidak hanya mendeteksi malware—tetapi mulai memahami cara berpikir pelaku di baliknya. Pendekatan ini membuka babak baru bagi cyber threat intelligence, di mana kemampuan analisis AI yang cepat berpadu dengan pemahaman perilaku manusia untuk membangun pertahanan siber yang lebih adaptif dan cerdas.
Baca juga: Transformasi Sistem Keamanan Siber melalui Interpretable AI
AI LLM kini mampu mengubah cara kita memahami dan mendeteksi serangan malware. Dengan menganalisis screenshot dari infeksi Aurora Infostealer, AI tidak hanya menemukan file dan URL berbahaya, tetapi juga mengungkap tiga kampanye global yang tersembunyi di balik video YouTube dan iklan Google. Pendekatan ini membuktikan bahwa dalam dunia keamanan siber modern, gambar bisa bicara dan AI bisa mendengarkannya—membuka jalan bagi deteksi ancaman berbasis visual yang lebih cepat, cerdas, dan manusiawi. Di masa depan, kolaborasi antara AI dan analis manusia akan menjadi kunci untuk menutup celah eksploitasi paling berbahaya yaitu rasa percaya pengguna.