Mata-mata siber Korea Utara bukan lagi sekadar ancaman jarak jauh

Eksploitasi senilai $285 juta terhadap Drift, sebuah bursa terdesentralisasi (DEX), bulan ini merupakan peretasan kripto terbesar dalam lebih dari setahun, ketika bursa Bybit kehilangan $1,4 miliar. Peretas yang didukung negara Korea Utara disebut sebagai tersangka utama dalam kedua serangan tersebut.

Musim gugur lalu, penyerang menyamar sebagai perusahaan perdagangan kuantitatif dan mendekati tim protokol Drift secara langsung di konferensi kripto besar, kata Drift dalam postingan X pada hari Minggu.

"Kini dipahami bahwa ini tampaknya merupakan pendekatan yang ditargetkan, di mana individu dari kelompok ini terus dengan sengaja mencari dan melibatkan kontributor Drift tertentu, secara langsung, di beberapa konferensi industri besar di berbagai negara selama enam bulan berikutnya," kata DEX tersebut.

Hingga saat ini, mata-mata siber Korea Utara telah menargetkan perusahaan kripto secara online, melalui panggilan virtual dan pekerjaan jarak jauh. Pendekatan langsung di konferensi biasanya tidak akan menimbulkan kecurigaan, tetapi eksploitasi Drift seharusnya cukup bagi peserta untuk meninjau koneksi yang dibuat di acara-acara terbaru.

Korea Utara memperluas strategi kripto di luar peretasan

Perusahaan forensik blockchain TRM Labs menggambarkan insiden ini sebagai peretasan DeFi terbesar tahun 2026 (sejauh ini) dan eksploitasi terbesar kedua dalam sejarah Solana, tepat di belakang peretasan jembatan Wormhole senilai $326 juta pada tahun 2022.

Kontak awal dimulai sekitar enam bulan lalu, tetapi eksploitasi itu sendiri dapat dilacak hingga pertengahan Maret, menurut TRM. Penyerang memulai dengan memindahkan dana dari Tornado Cash dan menerapkan CarbonVote Token (CVT), sambil menggunakan rekayasa sosial untuk membujuk penandatangan multisig menyetujui transaksi yang memberikan izin yang ditingkatkan.

Mereka kemudian menciptakan kredibilitas untuk CVT dengan mencetak pasokan besar dan meningkatkan aktivitas perdagangan untuk mensimulasikan permintaan nyata. Oracle Drift menangkap sinyal tersebut dan memperlakukan token sebagai aset yang sah.

Ketika transaksi yang telah disetujui sebelumnya dieksekusi pada 1 April, CVT diterima sebagai jaminan, batas penarikan ditingkatkan dan dana ditarik dalam aset nyata, termasuk USDC.

Terkait: Mata-mata Korea Utara membuat kesalahan, mengungkapkan hubungan dalam wawancara kerja palsu

Menurut TRM, kecepatan dan agresivitas pencucian uang berikutnya melebihi yang terlihat dalam peretasan Bybit.

Korea Utara secara luas diyakini menggunakan pencurian kripto skala besar seperti serangan Drift dan Bybit bersama dengan taktik jangka panjang, termasuk menempatkan operasi dalam peran jarak jauh di perusahaan teknologi dan kripto untuk menghasilkan pendapatan yang stabil. Dewan Keamanan Perserikatan Bangsa-Bangsa mengatakan dana tersebut digunakan untuk mendukung program senjata negara tersebut.

Peneliti keamanan Taylor Monahan mengatakan infiltrasi protokol DeFi dimulai sejak "musim panas DeFi," menambahkan bahwa sekitar 40 protokol telah melakukan kontak dengan operasi yang dicurigai DPRK.

Media pemerintah Korea Utara melaporkan pada hari Kamis bahwa negara tersebut menguji senjata elektromagnetik dan rudal balistik jarak pendek, yang dikenal sebagai Hwasong-11, yang dilengkapi dengan hulu ledak amunisi kelompok.

Jaringan infiltrasi mendorong pendapatan kripto yang stabil

Investigasi terpisah mengungkapkan bagaimana jaringan pekerja IT terkait Korea Utara menghasilkan jutaan melalui infiltrasi yang berkepanjangan.

Data yang diperoleh dari sumber anonim yang dibagikan oleh ZachXBT menunjukkan jaringan yang menyamar sebagai pengembang dan menanamkan diri di berbagai perusahaan kripto dan teknologi, menghasilkan sekitar $1 juta per bulan dan lebih dari $3,5 juta sejak November.

Kelompok ini mendapatkan pekerjaan menggunakan identitas palsu, merutekan pembayaran melalui sistem bersama, kemudian mengonversi dana ke fiat dan mengirimkannya ke rekening bank China melalui platform seperti Payoneer.

Terkait: Apakah Anda seorang pekerja lepas? Mata-mata Korea Utara mungkin menggunakan Anda

Operasi ini mengandalkan infrastruktur dasar, termasuk situs web bersama dengan kata sandi umum dan papan peringkat internal yang melacak pendapatan. 

Para agen melamar peran secara terang-terangan menggunakan VPN dan dokumen palsu, menunjuk pada strategi jangka panjang menanamkan operasi untuk mengekstrak pendapatan yang stabil.

Pertahanan berkembang seiring taktik infiltrasi menyebar

Cointelegraph menemukan skema serupa dalam investigasi tahun 2025 yang dipimpin oleh Heiner García, yang menghabiskan waktu berbulan-bulan dalam kontak dengan operasi yang dicurigai.

Cointelegraph kemudian mengambil bagian dalam wawancara palsu García dengan tersangka yang menggunakan nama "Motoki," yang mengaku sebagai orang Jepang. Tersangka itu keluar dari panggilan dengan marah setelah gagal memperkenalkan dirinya dalam dialek asli yang seharusnya.

Investigasi menemukan operasi melewati pembatasan geografis dengan menggunakan akses jarak jauh ke perangkat yang secara fisik berada di negara-negara seperti AS. Alih-alih VPN, mereka mengoperasikan mesin tersebut secara langsung, membuat aktivitas mereka tampak lokal.

Sekarang, headhunter teknologi telah menyadari bahwa orang di ujung lain wawancara kerja virtual mungkin memang mata-mata siber Korea Utara. Strategi pertahanan yang viral adalah meminta tersangka untuk menghina Kim Jong Un. Sejauh ini, taktik tersebut telah efektif.

Namun, karena Drift didekati secara langsung dan temuan García menunjukkan operasi menemukan metode kreatif untuk melewati pembatasan geografis, aktor Korea Utara terus beradaptasi dengan dinamika kucing dan tikus.

Meminta pewawancara untuk menyebut pemimpin tertinggi Korea Utara sebagai "babi gemuk" adalah strategi yang efektif untuk saat ini, tetapi peneliti keamanan memperingatkan bahwa ini tidak akan berhasil selamanya.

Majalah: Cek Bitcoin hantu, China melacak pajak di blockchain: Asia Express