Bagaimana Peretas Freelance dari Korea Utara Membangun Jaringan Peretasan Crypto senilai $680.000

Penyelidikan terbaru mengungkap operasi yang mengkhawatirkan: sebuah unit kecil operatif TI Korea Utara mempertahankan setidaknya 31 identitas palsu untuk menyusup ke platform cryptocurrency dan melakukan pencurian skala besar. Insiden terbesar yang terdokumentasi melibatkan pencurian sebesar $680.000 dari pasar token penggemar Favrr pada Juni 2025.

Strategi Penyusupan: Membangun Profil Freelance yang Kredibel

Informasi yang dikumpulkan dari perangkat yang dikompromikan mengungkap bagaimana para peretas freelance Korea Utara ini membangun diri mereka dalam industri crypto. Kelompok ini menciptakan identitas samaran yang rumit, menyusun dokumentasi lengkap termasuk ID pemerintah palsu dan nomor telepon. Untuk tampil sah di platform perekrutan, mereka membeli akun LinkedIn dan Upwork yang sudah mapan, secara efektif meminjam kredibilitas pengguna sebelumnya.

Posisi insinyur blockchain dan pengembangan kontrak pintar menjadi target utama mereka. Bukti menunjukkan bahwa satu individu melamar posisi insinyur full-stack di Polygon Labs, sementara transkrip wawancara menunjukkan klaim pekerjaan sebelumnya di entitas crypto terkenal seperti OpenSea dan Chainlink. Kredensial palsu ini berhasil menempatkan mereka di dalam organisasi cryptocurrency yang tidak curiga.

Infrastruktur Operasional: Akses Jarak Jauh dan Penyembunyian Digital

Setelah menyusup ke proyek crypto, para peretas freelance ini menggunakan perangkat lunak akses jarak jauh yang canggih termasuk AnyDesk untuk melakukan pekerjaan sambil menjaga jarak fisik dari pemberi kerja. Teknologi VPN menyamarkan lokasi geografis mereka, menciptakan ilusi pekerja jarak jauh yang sah dari wilayah lain.

Suite alat Google menjadi pusat operasi mereka. Data bocoran mengungkapkan bahwa mereka mengelola jadwal proyek, penugasan tugas, dan anggaran melalui Google Drive. Ekspor profil Chrome menunjukkan ketergantungan besar pada layanan terjemahan Google untuk menjaga komunikasi berbahasa Inggris sambil beroperasi dari wilayah yang tidak berbahasa Inggris. Catatan keuangan mendokumentasikan pengeluaran operasional sebesar $1.489,8 selama Mei saja.

Dari Pekerjaan hingga Eksploitasi: Pelanggaran Favrr sebesar $680.000

Penyelidikan mengidentifikasi hubungan langsung antara infrastruktur ini dan pencurian crypto tertentu. Alamat dompet 0x78e1a menunjukkan pola yang konsisten dengan aliran dana dari peretasan Favrr Juni. Bukti blockchain menghubungkan ke individu yang mengaku sebagai “Alex Hong” dan pengembang lain—semua bagian dari operasi Korea Utara yang terkoordinasi. Tim ini sebelumnya menargetkan pertukaran cryptocurrency Bitbit pada Februari, mengatur pencurian sebesar $1,4 miliar yang mengejutkan industri.

Secara kebetulan, riwayat pencarian mereka mengungkapkan pengumpulan intel tentang infrastruktur crypto yang lebih luas—pertanyaan tentang penerapan token ERC-20 di Solana dan riset tentang perusahaan pengembangan AI Eropa menunjukkan minat target yang diperluas di luar insiden awal.

Risiko Lebih Luas: Mengapa Perusahaan Crypto Tetap Rentan

Para peneliti keamanan menekankan bahwa para peretas freelance ini mengeksploitasi kelemahan mendasar dalam proses perekrutan. Meskipun metodologi penyusupan relatif sederhana, perusahaan cryptocurrency secara konsisten gagal menerapkan due diligence yang memadai. Volume aplikasi yang besar untuk posisi pengembangan menciptakan kelelahan pengambilan keputusan di tim perekrutan, yang menyebabkan proses penyaringan yang kurang ketat.

Fragmentasi antara perusahaan cryptocurrency dan platform freelance memperparah masalah ini. Kedua ekosistem tidak memiliki sistem verifikasi lintas platform yang kokoh, meninggalkan celah yang dapat dieksploitasi aktor yang berniat jahat. Sanksi dari Departemen Keuangan AS terhadap dua individu dan empat entitas yang terlibat dalam jaringan pekerja TI Korea Utara menunjukkan kesadaran pemerintah terhadap ancaman ini, namun adopsi langkah keamanan yang sesuai di sektor swasta masih tidak konsisten.

Pelajaran yang harus diambil: verifikasi latar belakang yang menyeluruh, berbagi intelijen lintas platform, dan skeptisisme terhadap profil kandidat yang tidak konsisten secara geografis adalah pertahanan penting melawan upaya penyusupan terkoordinasi oleh peretas freelance yang didukung negara yang menargetkan sektor cryptocurrency.