Korea Utara dan Pencurian Cryptocurrency
Korea Utara mengandalkan kelompok peretas yang didukung negara, seperti Lazarus, untuk membiayai program militernya. Cryptocurrency yang dicuri menyumbang hampir sepertiga dari pendapatan mata uang asing negara tersebut, menyediakan aliran kas ilegal yang stabil dan kebal terhadap sanksi tradisional.
Laporan Pencurian Cryptocurrency
Dalam laporan yang dirilis pada 22 Oktober, Tim Pemantauan Sanksi Multilateral menyatakan bahwa antara Januari 2024 dan September 2025, aktor-aktor dari Korea Utara berhasil mengoordinasikan pencurian cryptocurrency dengan total mencapai setidaknya $2,8 miliar. Pencurian ini dilakukan melalui kelompok peretas yang didukung negara dan aktor siber yang menargetkan sektor aset digital. Sebagian besar hasil pencurian berasal dari insiden besar, termasuk eksploitasi Bybit pada Februari 2025, yang menyumbang sekitar setengah dari total pencurian tersebut.
Laporan ini mengaitkan eksploitasi tersebut dengan aktor ancaman dari Korea Utara yang dikenal menggunakan metode rantai pasokan yang canggih, rekayasa sosial, dan kompromi dompet.
Ekosistem Peretasan Korea Utara
Operasi cryptocurrency Korea Utara berputar di sekitar ekosistem ketat kelompok peretas yang terhubung dengan negara, termasuk Lazarus, Kimsuky, TraderTraitor, dan Andariel, yang jejaknya muncul dalam hampir setiap pelanggaran aset digital besar dalam dua tahun terakhir. Menurut analis keamanan siber, tim-tim ini beroperasi di bawah Biro Umum Pengintaian, lengan intelijen utama Pyongyang, dan mengoordinasikan serangan yang meniru efisiensi sektor swasta.
Inovasi utama mereka adalah menghindari bursa sepenuhnya dengan menargetkan penyedia kustodi aset digital pihak ketiga yang digunakan bursa untuk penyimpanan yang aman. Dengan mengkompromikan infrastruktur perusahaan seperti Safe(Wallet), Ginco, dan Liminal Custody, aktor Korea Utara memperoleh kunci master untuk mencuri dana dari klien, termasuk Bybit, DMM Bitcoin dari Jepang, dan WazirX dari India.
Contoh Serangan
Serangan terhadap DMM Bitcoin, yang mengakibatkan kerugian sebesar $308 juta dan penutupan bursa tersebut, dimulai beberapa bulan sebelumnya ketika seorang aktor dari TraderTraitor berpura-pura sebagai perekrut di LinkedIn dan menipu seorang karyawan Ginco untuk membuka file berbahaya yang disamarkan sebagai tes pra-wawancara.
Kelompok-kelompok yang didukung negara lainnya beroperasi bersamaan dengan upaya utama ini. Kolektif CryptoCore, meskipun kurang canggih, melakukan rekayasa sosial dalam volume tinggi, berpura-pura sebagai perekrut dan eksekutif bisnis untuk menyusup ke target. Sementara itu, Citrine Sleet telah mengembangkan reputasi untuk menerapkan perangkat lunak perdagangan cryptocurrency yang terinfeksi trojan.
Dalam satu insiden terperinci dari Oktober 2024, seorang aktor Citrine Sleet yang berpura-pura sebagai kontraktor tepercaya di Telegram mengirimkan file ZIP berbahaya kepada seorang pengembang di Radiant Capital, yang mengakibatkan pencurian sebesar $50 juta.
Pencucian Aset Digital
Setelah dicuri, aset digital memasuki proses pencucian yang kompleks dan terdiri dari sembilan langkah yang dirancang untuk menyembunyikan asal-usulnya dan mengubahnya menjadi mata uang fiat yang dapat digunakan. Aktor siber dari DPRK secara sistematis menukar token yang dicuri menjadi cryptocurrency yang sudah mapan seperti Ethereum atau Bitcoin, kemudian memanfaatkan serangkaian layanan pencampuran termasuk Tornado Cash dan Wasabi Wallet.
Mereka kemudian menggunakan jembatan lintas rantai dan agregator seperti THORChain dan LI.FI untuk melompat antara blockchain, sering kali mengubah aset yang dicampur menjadi USDT berbasis Tron untuk dipersiapkan untuk pencairan. Para penyelidik menyatakan bahwa seluruh operasi ini bergantung pada jaringan broker over-the-counter, terutama di China, yang menerima USDT yang dicuci dan menyetorkan mata uang fiat yang setara ke rekening bank yang dikendalikan DPRK melalui kartu UnionPay China.
Konsekuensi Pencurian Digital
Kampanye pencurian digital yang tak henti-hentinya ini memiliki konsekuensi nyata yang langsung dan serius. Miliar dolar yang disedot dari ekosistem crypto tidak menghilang ke dalam kekosongan birokrasi. Laporan MSMT menyimpulkan bahwa aliran pendapatan ini sangat penting untuk pengadaan bahan dan peralatan untuk program senjata pemusnah massal dan rudal balistik DPRK.
Dengan menyediakan aliran kas besar yang ilegal dan kebal terhadap sanksi keuangan tradisional, industri cryptocurrency global telah dijadikan senjata, menjadi pemberi dana yang tidak diatur dan enggan untuk ambisi militer Pyongyang. Pencurian ini bukan sekadar kejahatan untuk mendapatkan keuntungan; mereka adalah tindakan kebijakan negara yang mendanai pembangunan militer yang mengancam keamanan global.
