Microsoft Dedah 4 Kempen Samaran AI Curi Kredensial Guna Umpan ChatGPT, Claude, DeepSeek, dan Copilot

• Skala dan sasaran: Gelombang awal menghantar 4,500 e-mel kepada mangsa di Afrika Selatan. Kempen yang lebih besar dan selari menggunakan infrastruktur yang sama untuk menghantar sehingga 100,000 e-mel dalam satu hari kepada sasaran di Switzerland, Austria, dan Afrika Selatan, dengan tumpuan kepada organisasi dalam pendidikan tinggi dan perkhidmatan profesional .
• Teknik: Serangan ini menggunakan rantaian lencongan berbilang peringkat. Mangsa yang mengklik pautan "kemas kini pembayaran" dihalakan melalui platform CRM yang sah, domain pengesanan Amazon, dan pemendek URL sebelum tiba di laman e-dagang yang telah dikompromi untuk menuai maklumat peribadi dan butiran penuh kad kredit merentasi beberapa halaman berurutan .

2. Serangan Adversary-in-the-Middle (AiTM) Bertemakan Claude (20–22 April 2026)

Kempen curi kredensial yang canggih ini menyamar sebagai Anthropic untuk memintas pengesahan pelbagai faktor (MFA) .

• Skala dan sasaran: Serangan ini menyasarkan lebih 2,000 organisasi, dengan 62% mangsa di Amerika Syarikat, 18% di United Kingdom, dan 9% di India. Syarikat perkhidmatan kewangan merangkumi 8% daripada sasaran .
• Teknik: Mangsa menerima e-mel yang mendakwa pelanggaran dasar penggunaan yang boleh diterima, dengan lampiran PDF bernama

  "Fill and Sign Claude Appeal Form.pdf"

  (SHA-256: 791efb...d40e) . PDF tersebut membawa pengguna melalui gesaan pengesahan Cloudflare dan halaman pendaratan berjenama Claude palsu, ke halaman log masuk Microsoft tiruan yang direka untuk memintas token sesi—teknik AiTM klasik yang memintas MFA .

3. Repositori GitHub Palsu DeepSeek V4 dan Infostealer (24 April 2026)

Kempen ini menunjukkan kepantasan pelaku ancaman mengeksploitasi gembar-gembur AI untuk menyasarkan audiens teknikal .

• Kelajuan dan skala: Dalam masa 45 minit selepas DeepSeek mempratonton model V4-nya, penyerang mencipta organisasi GitHub palsu bernama "DeepSeek-V4," lengkap dengan penjenamaan curi yang kelihatan asli dan data penanda aras yang tepat . Repositori itu mengumpul 91 bintang dan menduduki tempat pertama di Bing untuk carian seperti "DeepSeek v4 weights github" dalam masa empat hari .
• Muatan: Arkib yang dihoskan repositori itu mengandungi pemuat yang memasang Vidar infostealer, alat yang direka untuk mencuri kredensial, kuki penyemak imbas, dan data dompet mata wang kripto . Microsoft mendapati cincangan pemuat yang sama telah digunakan semula dalam fail yang menyamar sebagai alat AI sohor kini lain termasuk GPT-5.5, Claude Code, dan Manus AI, menunjukkan strategi umpan boleh tukar ganti .

4. Kempen Iklan Hasad Storm-3075 Dengan Tandatangan Kod Curang (Mac–Mei 2026)

Dikaitkan dengan broker akses awal yang dijejaki sebagai Storm-3075, kempen ini menggunakan iklan berniat jahat untuk menyebarkan perisian hasad yang ditandatangani pada skala besar .

• Skala dan sasaran: Pada 13 Mac 2026, satu kempen tunggal menyasarkan lebih 66,000 peranti melalui iklan timbul berniat jahat di laman web penstriman filem percuma, mempromosikan produk palsu seperti "Awesome AI Windows Plugin" dan "Flux Pro AI" .
• Teknik: Perisian hasad itu diedarkan dengan tandatangan digital sah yang diperoleh secara curang daripada Fox Tempest, operasi perkhidmatan tandatangan perisian hasad. Ini menjadikan fail boleh laku kelihatan sah kepada sistem pengendalian, memintas pemeriksaan kepercayaan standard . Pada 19 Mei 2026, Microsoft membuka satu kes undang-undang terhadap Fox Tempest di Mahkamah Daerah AS untuk Daerah Selatan New York, merampas laman webnya dan melumpuhkan ratusan mesin maya yang menjalankan perkhidmatan tersebut .

Ekosistem Penipuan Bertemakan AI Yang Lebih Luas

Keempat-empat kempen ini bukanlah insiden terpencil. Ia membentuk sebahagian daripada ekosistem penipuan bertemakan AI yang lebih luas dan adaptif, yang bergantung pada kit alat teknik canggih dan boleh guna semula:

• Lencongan berbilang peringkat: Penyerang sering menghalakan mangsa melalui perkhidmatan sah seperti CRM, pemendek URL, dan platform awan untuk mengelak pengesanan automatik sebelum muatan berniat jahat akhir dihantar .
• Keracunan SEO dan repositori palsu: Kempen DeepSeek mengetengahkan evolusi berbahaya dalam serangan rantaian bekalan. Repositori dan halaman GitHub palsu dioptimumkan untuk enjin carian bagi mengatasi sumber sah, khususnya menyasarkan pembangun dan penyelidik yang mencari pemberat model dan kod .
• Perkhidmatan tandatangan perisian hasad: Tindakan undang-undang terhadap Fox Tempest mendedahkan infrastruktur jenayah profesional yang menyediakan sijil tandatangan kod yang dikeluarkan secara curang kepada pelbagai pelaku, membolehkan perisian hasad tanpa tandatangan mendapat kepercayaan peringkat OS .
• Umpan boleh tukar ganti: Penggunaan semula satu perduaan pemuat, dibungkus semula di bawah nama model AI berbeza seperti GPT-5.5, Claude Code, Kimi, dan Manus AI, menunjukkan penyerang boleh dengan serta-merta menyesuaikan kempen mereka kepada mana-mana alat yang paling menarik minat awam pada bila-bila masa .

Mengapa Peralihan Ini Penting

Microsoft menilai bahawa umpan bertemakan AI "mencerminkan peralihan dalam kejuruteraan sosial yang mungkin akan berterusan sebagai taktik jangka panjang yang digunakan oleh pelaku ancaman, dari kumpulan penjenayah siber hingga negara bangsa" . Ini tidak menggantikan umpan pancingan data tradisional seperti invois palsu atau pemberitahuan penghantaran. Sebaliknya, ia mencipta permukaan serangan baharu yang kuat, dibina di atas kepercayaan dan rasa ingin tahu awam yang besar terhadap platform AI, satu risiko yang belum ditangani sepenuhnya oleh latihan kesedaran keselamatan banyak organisasi . Penyasaran pembangun melalui kempen DeepSeek amat membimbangkan, kerana ia menunjukkan risiko rantaian bekalan yang terletak di huluan pelbagai aplikasi perusahaan dan alat dalaman yang dibina di atas model-model ini .