tirto.id - Ratusan juta dolar raib dalam sekejap. Nominalnya sama sekali tidak masuk akal: 620 juta dolar AS, setara 10 triliun rupiah. Anehnya lagi, tak ada alarm peringatan berbunyi.
Kejadiannya tepat pada 29 Maret 2022. Korbannya bukan keroco, Ronin Network—blockchain yang memproses transaksi dalam gim video Axie Infinity, salah satu gim play-to-earn paling populer di dunia. Hari itu, mereka menemukan bahwa seseorang telah diam-diam menguras 620 juta dolar AS dalam stablecoin Ethereum dan USDC. Tapi terlambat, duitnya kadung ludes.
Selama berhari-hari, firma keamanan blockchain berusaha keras mencari tahu yang sebenarnya terjadi. Mereka meneliti log transaksi yang seharusnya kedap udara. Baru setelah Chainalysis dan pakar pelacakan kripto lainnya ikut terlibat dalam investigasi, cakupan pencurian terungkap sepenuhnya.
Para pencuri itu menyelinap masuk melalui tawaran pekerjaan palsu yang dikirim ke seorang pemrogram melalui LinkedIn. Ini merupakan tindakan spear-phishing yang menyebabkan kunci pribadi seseorang terkompromikan. Ketika para penyelidik menelusuri jejak hingga ke sumbernya, jawabannya sungguh mencengangkan. Akan tetapi, kalau dipikir-pikir lagi, sebenarnya tidak terlalu mengejutkan.
Pencurian mata uang kripto senilai 620 juta dolar AS itu bukanlah hasil kerja peretas biasa yang beroperasi mandiri. Ini adalah pencurian yang disponsori negara dan dieksekusi dengan sempurna oleh para peretas yang bekerja di bawah kendali pemerintah Korea Utara (Korut).
Kejadian itu bukanlah yang pertama kalinya terjadi. Selama satu dekade terakhir, Korut telah mencuri miliaran dolar dari bank, bursa mata uang kripto, dan bisnis di seluruh dunia. Mereka menggunakan dana tersebut untuk mengakali sanksi ekonomi sekaligus mendanai program senjata nuklirnya.
Skala kejahatan dunia maya Korut menempatkan mereka di antara perompak digital paling prominen dalam sejarah. Pertanyaannya bukan hanya bagaimana mereka melakukannya, tetapi juga bagaimana sebuah negara dengan akses internet yang katanya sangat minim berhasil menjadi penjahat dunia maya paling berbahaya.
Kelahiran Pasukan Dunia Maya Korea Utara
Kiprah Korut dalam perang dunia maya tidak terjadi dalam semalam. Ini semua, seperti aktivitas-aktivitas Korut lainnya, dilakukan dalam senyap, jauh dari pelototan mata dunia. Pada awal 2000-an, Kim Jong-il, yang paranoid dan terobsesi pada kemampuan militer asimetris "kerajaannya", menyadari bahwa ketika senjata nuklir terlalu mahal dibuat dalam skala besar, serangan siber adalah cara yang jauh lebih murah untuk menimbulkan kerusakan bagi musuh.
Biro 121 menjadi titik tolaknya. Dibentuk di bawah Biro Pengintaian Umum (RGB), divisi tersebut berfungsi seperti tim operasi gelap militer. Hanya saja, senjata mereka bukan pistol berperedam atau senapan serbu, melainkan rangkaian kode.
Mereka bukanlah peretas yang menghabiskan hari-harinya untuk membajak akun media sosial atau menjalankan penipuan tingkat rendah. Mereka adalah pegawai negeri yang dilatih untuk melakukan sabotase ekonomi, penipuan keuangan, dan pengumpulan data intelijen.
Rekrutmenya dilakukan sejak usia dini. Siswa yang menunjukkan bakat dalam matematika dan ilmu komputer diambil dari sekolah-sekolah reguler dan dikirim ke lembaga-lembaga elite seperti Universitas Teknologi Kim Chaek, Universitas Kim Il-sung, dan Universitas Mirim—perguruan tinggi militer yang mengkhususkan diri dalam perang informasi.
Dari sana, para siswa terbaik dikirim ke luar negeri, Tiongkok atau Rusia, tempat mereka menerima pelatihan tambahan dalam kemampuan ofensif siber, kriptografi, dan eksploitasi jaringan. Menurut seorang defektor bernama Kim Heung-kwang, yang dulunya pernah menjadi profesor komputer di Korut, terpilih untuk menjalani pendidikan serangan siber seperti itu merupakan kebanggaan tersendiri bagi pemuda-pemudi Korut.
"Di Korea Utara, perang ini disebut sebagai Perang Rahasia. Mereka [pasukan siber Korut, red.] dipilih langsung. Itu merupakan kehormatan bagi mereka. Di sana, menjadi tentara siber adalah pekerjaan kerah putih dan banyak orang yang berfantasi melakukannya," ujar Kim kepada Reuters.
Memasuki dekade 2010-an, strategi siber Korut kian matang. Mereka memiliki beberapa unit peretasan khusus, masing-masing dengan misi yang jelas.
Lazarus Group, yang paling terkenal, berfokus hampir secara eksklusif pada pencurian uang. APT38, subkelompok di dalam Lazarus, menarget bank melalui manipulasi sistem SWIFT untuk mengotorisasi transfer kawat (memberi izin secara palsu) yang sebenarnya terlarang.
Sementara itu, Kimsuky mengkhususkan diri dalam spionase dengan menarget lembaga-lembaga Korea Selatan (Korsel) dan Amerika Serikat (AS), mulai dari lembaga pemikir (think tank) hingga analis kebijakan nuklir.
Jelas, ini adalah transformasi yang menakjubkan. Korut, yang dianggap miskin, terbelakang, dan tidak mampu memberi makan rakyatnya, telah diam-diam membangun salah satu sindikat kejahatan siber paling tangguh di dunia.
Dari Perampokan Bank hingga Pencurian Kripto
Pencurian di Bank Bangladesh pada 2016 menjadi tonggak krusial bagi serdadu maya Korut. Rencananya sederhana tetapi nekat: mencuri 1 miliar dolar AS menggunakan sistem perbankan SWIFT, jaringan global yang memfasilitasi transaksi keuangan lintas batas.
Para peretas berhasil menyalurkan 81 juta dolar AS dari bank tersebut. Namun, setelah terjadi kesalahan ketik pada salah satu permintaan transfer palsu mereka—fandation, bukannya foundation—muncul kecurigaan dari pihak berwajib dan akhirnya tindakan itu digagalkan.
Kesalahan tersebut memang membuat para peretas Korut gagal mencapai targetnya. Akan tetapi, kejadian tersebut merupakan bukti sahih bahwa mereka dapat mengeksploitasi sistem keuangan, sama efektifnya dengan penjahat dunia maya elite lain.
Jika pencurian di Bangladesh memamerkan keterampilan teknis mereka, WannaCry, serangan ransomware yang melumpuhkan rumah sakit dan bisnis di 150 negara pada 2017, menunjukkan niat busuk Korut untuk menciptakan malapetaka dalam skala global. Malware tersebut, yang mengunci pengguna dari komputer mereka sendiri kecuali mereka membayar tebusan Bitcoin, mengganggu Layanan Kesehatan Nasional Inggris, telekomunikasi Spanyol, dan Bank Sentral Rusia.
Di sisi lain, serangan-serangan tersebut memiliki kelemahan. Mereka menarik terlalu banyak perhatian. Imbasnya, bank-bank di seluruh dunia makin memperketat keamanan. Demikian juga dengan pemerintah yang lantas memperketat aturan kontrol keuangan. Alhasil, Korut pun mesti mencari lahan berburu yang baru.
Mereka pun menemukannya dalam mata uang kripto.
Mata uang kripto sangat cocok untuk memenuhi ambisi kejahatan dunia maya Korut. Sifatnya yang terdesentralisasi, diatur dengan longgar, dan sulit dilacak, sangatlah ideal untuk mencuci dana curian secara anonim.
Para peretas Korut pun mengalihkan fokusnya ke bursa kripto dan platform berbasis blockchain. Mereka menarget semuanya, mulai dari dompet panas (dompet mata uang kripto yang selalu terhubung dengan internet), kontrak pintar (program yang dapat mengeksekusi transaksi secara otomatis), hingga platform keuangan terdesentralisasi (DeFi).
Peretasan bursa Coincheck Jepang pada 2018, yang menghasilkan 530 juta dolar AS dalam token NEM, membuktikan bahwa pencurian kripto bisa sama menguntungkannya dengan perampokan bank tradisional.
Seiring waktu, operasi mereka menjadi lebih canggih. Para peretas Korut menggunakan teknik berteknologi mutakhir, seperti "peel chains" (taktik pencucian yang membagi transaksi menjadi ribuan transfer mikro), mixer macam Tornado Cash (aplikasi untuk mengaburkan alamat dompet), serta NFT, untuk menutupi jejaknya.
Dalam tiga tahun terakhir, Korut berhasil memecahkan dua rekor pencurian mata uang kripto terbesar dalam sejarah. Yang pertama terjadi pada 2022, ketika peretas Lazarus Group mengeksploitasi kelemahan di Ronin Network, blockchain di balik gim Axie Infinity yang sangat populer.
Seorang pemrogram tertipu dengan tawaran pekerjaan palsu berisi berkas PDF yang mengandung virus trojan. Saat peretasan tersebut ditemukan, 620 juta dolar AS dalam bentuk stablecoin Ethereum dan USDC telah disedot dan disalurkan melalui labirin dompet dan mixer kripto. Oleh karena itu, pelakunya sempat sulit sekali dicari.
Namun, itu belum seberapa. Pada awal 2025, Biro Investigasi Federal AS (FBI) mengonfirmasi bahwa Lazarus berada di balik pencurian yang lebih berani: 1,5 miliar dolar AS dalam bentuk Ethereum dari bursa kripto yang berbasis di Dubai, Bybit.
Para peretas menggunakan gabungan serangan phishing, aplikasi trading berbahaya, dan teknik pengaburan berlapis, untuk menguras dana serta mencucinya melalui protokol terdesentralisasi. Pencurian kripto terbesar dalam sejarah ini memperkuat status Korut sebagai unit kejahatan digital paling mumpuni.
Bagaimana Peretas Korea Utara Beroperasi?
Sekilas, tampaknya mustahil bahwa negara "terbelakang", yang akses internetnya dibatasi hanya untuk segelintir orang, dapat melakukan kejahatan dunia maya dalam skala besar. Tapi, kenyataannya memang demikian. Sebab, banyak peretas Korut yang tidak berbasis di dalam negeri. Mereka tersebar di banyak negara di berbagai belahan dunia.
Menurut laporan Departemen Keuangan AS tahun 2023, operator dunia maya Korea Utara sering ditempatkan di Tiongkok, Rusia, Asia Tenggara, serta sebagian wilayah Afrika.
Beroperasi dengan identitas palsu, mereka menyamar sebagai pekerja lepas, pengembang blockchain, atau konsultan keamanan dunia maya. Beberapa bahkan telah mendapatkan pekerjaan jarak jauh di perusahaan teknologi Barat, yang memberi mereka akses langsung ke perangkat lunak milik perusahaan dan infrastruktur sensitif.
Platform pencari kerja, seperti LinkedIn, Upwork, dan GitHub, telah menjadi tempat perburuan. Pada 2024, misalnya, perusahaan keamanan siber KnowBe4 secara tidak sengaja merekrut insinyur perangkat lunak yang ternyata merupakan agen Korea Utara. Ia berhasil melewati proses rekrutmen dan mulai bekerja dari jarak jauh. Namun, tak lama setelahnya, ada aktivitas mencurigakan pada laptop perusahaan yang memicu investigasi internal yang melibatkan FBI.
Dalam kasus terpisah, sebuah perusahaan lain menemukan bahwa kontraktor lepas mereka—yang juga beroperasi secara remote—menyimpan data sensitif ke akun Google Drive pribadinya, kemudian mencoba memeras perusahaan tersebut setelah diberhentikan. Pendekatan semacam ini memungkinkan Korut tidak hanya mencuri gaji secara ilegal, tapi juga mendapatkan akses langsung ke sistem dan data internal perusahaan. Tak bisa dimungkiri, hal tersebut membuka potensi sabotase atau spionase digital lebih jauh.
Adapun bagi mereka yang tetap berada di dalam Korea Utara, pemerintah menyediakan akses internet terbatas, yang biasanya disalurkan melalui server Tiongkok atau Rusia. Mereka menggunakan VPN, rantai proksi, dan alamat IP yang dibajak, untuk menutupi jejak mereka. Beberapa peretasan dilakukan dengan menggunakan mesin di negara pihak ketiga yang telah disusupi, seraya memberikan ilusi bahwa serangan itu berasal dari tempat lain.
Metode Korut juga telah berkembang. Alih-alih hanya mengandalkan eksploitasi berbasis kode, peretas piawai melakukan rekayasa sosial. Mereka melakukan spear-phishing terhadap karyawan, membuat tawaran pekerjaan palsu, menyamar sebagai perekrut SDM, bahkan menyamar sebagai investor VC (kapita ventura), untuk mendapatkan akses ke jaringan internal.
Dalam beberapa kasus, peretas Korut tidak perlu mendobrak pintu digital; mereka cukup meyakinkan seseorang agar membukakan akses bagi mereka.
Bisakah Mereka Dihentikan?
Dunia memang telah menyadari skala ancaman siber Korea Utara. Akan tetapi, menghentikan mereka adalah masalah yang sama sekali berbeda. FBI, Interpol, dan firma keamanan siber seperti Chainalysis dan Mandiant, telah berupaya melacak dana kripto yang dicuri dan membekukan akun yang terkait dengan Korut.
Perserikatan Bangsa-Bangsa pun telah mengeluarkan laporan yang menghubungkan kejahatan siber dengan pengembangan senjata, dompet yang digunakan oleh Lazarus Group telah masuk daftar hitam, dan mixer mata uang kripto seperti Tornado Cash telah dikenai sanksi.
Namun, masalah tidak lenyap begitu saja.
Korea Utara telah beradaptasi. Mereka mencuci uang melalui perusahaan cangkang, protokol DeFi, dan bursa terdesentralisasi. Mereka menggunakan yang disebut platform "jembatan" untuk memindahkan dana antar-blockchain dan menutupi asal-usulnya. Para peretas juga sabar. Tak jarang, mereka menunggu berbulan-bulan atau bertahun-tahun untuk menguangkan token yang dicuri.
Pemerintah sejumlah negara sebetulnya sudah berupaya mengimbangi kecerdikan para peretas Korut. Korsel, AS, dan Jepang, misalnya, telah meningkatkan kolaborasi pertahanan siber. Alat pembelajaran mesin mutakhir dan sistem deteksi berbasis AI kini digunakan untuk mendeteksi aktivitas blockchain yang tidak biasa.
Namun, sifat kripto yang terdesentralisasi membuat penegakan hukum jadi serasa permainan kucing dan tikus; saling kejar yang tiada habisnya. Belum lagi urusan lambannya standar regulasi global merespons dinamika di dalamnya.
Yang jelas, tingkah polah Korut ini menunjukkan bahwa masa depan sesungguhnya memang ada di dunia maya, termasuk untuk urusan ekonomi dan perang sekalipun. Medan laga tak lagi kasatmata, digantikan oleh serangkaian kode yang tampak seperti lanturan belaka bagi mata awam.
Masih terlalu dini, tentu saja, bagi Korut untuk mendaku sebagai pemenang karena mereka pun bukannya tidak pernah gagal. Meski demikian, ini semua adalah peringatan keras bagi semua entitas, mulai dari negara, swasta, sampai individu, bahwa kejahatan siber bukan lagi soal mungkin atau tidak mungkin, melainkan perkara kapan ia akan terjadi dan apa yang sudah dilakukan untuk memitigasi efek negatifnya.
Penulis: Yoga Cholandha
Editor: Fadli Nasrudin
