Peretasan Cryptocurrency oleh Kelompok Korea Utara
Kelompok peretasan dari Korea Utara telah memanfaatkan daya tarik tawaran pekerjaan di bidang IT freelance untuk mendapatkan akses ke sistem cloud dan mencuri cryptocurrency senilai jutaan dolar. Hal ini terungkap dalam penelitian yang dilakukan oleh Google Cloud dan perusahaan keamanan Wiz. Laporan H2 2025 Cloud Threat Horizons dari Google Cloud menunjukkan bahwa Google Threat Intelligence Group “secara aktif melacak” UNC4899, sebuah unit peretasan Korea Utara yang berhasil meretas dua perusahaan setelah menghubungi karyawan melalui media sosial.
Metode Peretasan
Dalam kedua kasus tersebut, UNC4899 memberikan tugas kepada karyawan yang mengakibatkan mereka menjalankan malware di workstation mereka. Ini memungkinkan kelompok peretasan untuk membangun koneksi antara pusat komando dan kontrolnya dengan sistem cloud perusahaan target. Akibatnya, UNC4899 dapat menjelajahi lingkungan cloud para korban, memperoleh kredensial, dan akhirnya mengidentifikasi host yang bertanggung jawab untuk memproses transaksi cryptocurrency.
Meskipun setiap insiden menargetkan perusahaan yang berbeda (tanpa nama) dan layanan cloud yang berbeda (Google Cloud dan AWS), keduanya menghasilkan pencurian “beberapa juta dolar dalam cryptocurrency.” Penggunaan tawaran pekerjaan oleh hacker Korea Utara kini “cukup umum dan luas,” mencerminkan tingkat kecanggihan yang cukup tinggi, kata Jamie Collier, Penasihat Utama Intelijen Ancaman untuk Eropa di Google Threat Intelligence Group, kepada Decrypt.
Kecanggihan dan Teknologi
Collier juga menjelaskan bahwa aktor ancaman dari Korea Utara termasuk yang pertama kali mengadopsi teknologi baru seperti AI, yang mereka gunakan untuk menghasilkan “email yang lebih meyakinkan untuk membangun hubungan” dan untuk menulis skrip jahat mereka. Perusahaan keamanan cloud Wiz juga melaporkan tentang eksploitasi UNC4899, yang dikenal dengan nama TraderTraitor, Jade Sleet, dan Slow Pisces.
“Kami percaya bahwa TraderTraitor telah fokus pada eksploitasi dan teknik terkait cloud karena di situlah data, dan dengan demikian uang, berada,” kata Benjamin Read, Direktur Intelijen Ancaman Strategis Wiz, kepada Decrypt.
Sejarah dan Dampak
Dalam analisisnya tentang UNC4899/TraderTraitor, Wiz mencatat bahwa kampanye ini dimulai pada tahun 2020. Sejak awal, kelompok peretasan ini telah menggunakan tawaran pekerjaan untuk membujuk karyawan agar mengunduh aplikasi cryptocurrency jahat yang dibangun di atas JavaScript dan Node.js menggunakan kerangka kerja Electron. Kampanye kelompok dari 2020 hingga 2022 “berhasil meretas beberapa organisasi,” termasuk pelanggaran senilai $620 juta oleh Lazarus Group terhadap Jaringan Ronin Axie Infinity.
Aktivitas ancaman TraderTraitor kemudian berkembang pada tahun 2023 dengan menggabungkan penggunaan kode sumber terbuka yang jahat, sementara pada tahun 2024, mereka menggandakan tawaran pekerjaan palsu, terutama menargetkan bursa cryptocurrency. Yang paling mencolok, kelompok TraderTraitor bertanggung jawab atas peretasan senilai $305 juta dari DMM Bitcoin Jepang, serta peretasan senilai $1,5 miliar di Bybit pada akhir 2024, yang diungkapkan oleh bursa tersebut pada bulan Februari tahun ini.
Kesimpulan
Seperti dengan eksploitasi yang disoroti oleh Google, peretasan ini menargetkan sistem cloud dengan berbagai tingkat, dan menurut Wiz, sistem semacam itu mewakili kerentanan yang signifikan untuk cryptocurrency. Read menjelaskan bahwa menargetkan teknologi cloud memungkinkan kelompok peretasan untuk mempengaruhi berbagai target, meningkatkan potensi untuk menghasilkan lebih banyak uang. Kelompok-kelompok ini melakukan bisnis besar, dengan “perkiraan $1,6 miliar dalam cryptocurrency yang dicuri sejauh ini pada tahun 2025,” katanya.
Pada akhirnya, investasi semacam itu telah memungkinkan Korea Utara untuk menjadi pemimpin dalam peretasan cryptocurrency, dengan laporan TRM Labs pada bulan Februari menyimpulkan bahwa negara tersebut menyumbang 35% dari semua dana yang dicuri tahun lalu. Para ahli mengatakan semua tanda yang tersedia menunjukkan bahwa negara tersebut kemungkinan akan tetap terlibat dalam peretasan terkait cryptocurrency untuk beberapa waktu ke depan, terutama mengingat kemampuan operasionalnya untuk mengembangkan teknik baru.
