Ringkasan
Bagaimana peretas Korea Utara menyusup ke lingkungan cloud untuk mencuri cryptocurrency? Menurut Laporan Ancaman Cloud H2 2025 dari Google Cloud, tim Intelijen Ancaman perusahaan tersebut sedang memantau UNC4899, sebuah kelompok peretasan yang terkait dengan Korea Utara, yang dituduh telah membobol dua organisasi setelah memulai kontak dengan karyawan melalui platform media sosial. “Aktif sejak setidaknya 2020, UNC4899 terutama menargetkan industri cryptocurrency dan blockchain dan telah menunjukkan kemampuan canggih untuk melaksanakan kompromi rantai pasokan yang kompleks,” bunyi laporan tersebut.
Insiden Terkait UNC4899
Laporan tersebut mencatat bahwa antara Q3 2024 dan Q1 2025, perusahaan keamanan siber Mandiant menanggapi dua insiden terpisah yang terkait dengan UNC4899, yang berdampak pada lingkungan Google Cloud satu organisasi dan lingkungan AWS organisasi lainnya. Meskipun tahap awal dan akhir dari penyusupan berbagi taktik yang sama, metode yang digunakan selama fase perantara bervariasi, kemungkinan mencerminkan perbedaan dalam arsitektur sistem korban.
Metode Serangan
Laporan tersebut lebih lanjut merinci bahwa pada tahap awal serangan ini, para peretas menjalin kontak dengan korban melalui platform media sosial, satu melalui Telegram dan yang lainnya melalui LinkedIn, berpura-pura sebagai perekrut pengembang perangkat lunak lepas. Karyawan yang menjadi target kemudian tanpa sadar diarahkan untuk menjalankan kontainer Docker berbahaya di workstation mereka. Tindakan ini memicu penyebaran malware, termasuk downloader seperti GLASSCANNON dan muatan sekunder seperti pintu belakang PLOTTWIST dan MAZEWIRE, yang pada akhirnya memungkinkan para penyerang terhubung ke server komando dan kontrol (C2) mereka.
“Dalam kedua kasus, UNC4899 melakukan beberapa kegiatan pengintaian internal pada host dan lingkungan yang terhubung dengan korban, sebelum memperoleh materi kredensial yang mereka gunakan untuk beralih ke lingkungan cloud korban,” bunyi laporan tersebut.
Taktik Pekerjaan Palsu
Peretas Korea Utara semakin mengandalkan tawaran pekerjaan palsu untuk menyusup ke perusahaan. Pada bulan Juli, Departemen Keuangan AS menjatuhkan sanksi kepada Song Kum Hyok karena diduga menjalankan skema yang menempatkan pekerja TI Korea Utara yang menyamar di perusahaan-perusahaan AS untuk menghasilkan pendapatan bagi Republik Rakyat Demokratik Korea (DPRK). Pekerja ini, yang sering berbasis di China atau Rusia, menggunakan identitas dan kewarganegaraan palsu, dengan majikan yang tidak menyadari penipuan tersebut.
Pentingnya Desentralisasi
Saat ancaman global mendorong platform crypto untuk memperketat keamanan, ini adalah pengingat kuat mengapa ekosistem desentralisasi yang dipimpin komunitas, seperti Shibarium, sangat penting. Berbeda dengan pengaturan tradisional yang rentan terhadap eksploitasi terpusat, infrastruktur terbuka Shibarium memberdayakan pengembang untuk membangun dengan transparansi, ketahanan, dan kepercayaan sebagai inti. Alih-alih bergantung pada satu titik kegagalan, Shibarium mendistribusikan kontrol di seluruh jaringan validator, pengembang, dan peserta komunitas.
Desentralisasi ini tidak hanya membuatnya lebih sulit bagi aktor jahat, seperti kelompok peretasan yang didukung negara, untuk mendapatkan pijakan, tetapi juga memungkinkan deteksi dan respons yang lebih cepat ketika kerentanan muncul. Saat ruang crypto menghadapi risiko siber yang meningkat, ekosistem seperti Shibarium menekankan jalur berbeda ke depan, yang berakar pada desentralisasi, transparansi, dan komitmen bersama untuk membangun alat yang melayani, bukan mengeksploitasi, masyarakat.
Berita Terkait
- Aktor Ancaman Korea Utara Menggunakan Malware NimDoor untuk Menargetkan Perangkat Apple
- Kelompok Lazarus Korea Utara Terkait dengan Pencurian Crypto Baru Senilai $3,2 Juta
- Peretas Korea Utara Mencuri Miliaran Crypto Sambil Menyamar sebagai VC!
