Peretas Korut Kini Jadi Arsitek Gadungan, Apa yang Mereka Cari?

tirto.id - Jika Anda merupakan pekerja lepas dan merasa bahwa belakangan ini mendapatkan pekerjaan di pelantar-pelantar macam Upwork, Fiverr, atau GitHub semakin sulit, bisa jadi itu karena "jatah" Anda sudah disikat oleh para peretas Korea Utara (Korut).

Ini bukan guyonan. Menurut laporan Dewan Keamanan PBB yang diterbitkan tahun lalu, para perets Korut setiap tahunnya berhasil menggondol uang sejumlah USD250 juta s/d 600 juta untuk disetorkan ke "kerajaan pertapa" milik keluarga Kim itu. Dan itu, baru dari satu sektor saja, yaitu teknologi informasi.

Sebenarnya, apa yang dilakukan para peretas Korut adalah pekerjaan-pekerjaan legal yang secara terbuka tersedia di berbagai pelantar. Hanya, cara yang mereka tempuh untuk mendapatkan itu memang patut dipertanyakan. Mereka tidak ada yang berbasis di negaranya, melainkan beroperasi dari berbagai wilayah di Asia—termasuk Asia Tenggara—serta Rusia, menggunakan VPN serta laptop farm, dan mencuri kredensial dari akun-akun dengan tingkat keamanan lemah (seperti yang menggunakan tanggal lahir sebagai password).

Artinya, meski Korut juga punya pasukan tersendiri untuk melakukan perampokan siber besar-besaran, khususnya dalam bentuk koin/token kripto, mereka juga memiliki serdadu-serdadu yang menyamar sebagai pekerja lepas atau pekerja remot. Dengan demikian, lewat jagat maya, Korut memiliki dua sumber pemasukan. Yakni, hasil curian langsung dan hasil melakukan pekerjaan dengan cara mencuri kredensial milik orang lain. Kira-kira begitu.

Menjadi Arsitek Gadungan

Berdasarkan dua laporan terbaru, masing-masing dari The Fifth Estate CBC dan firma keamanan siber Kela, belakangan ini para peretas Korut tersebut telah melebarkan sayapnya. Mereka tidak lagi cuma berfokus pada dunia teknologi informasi, melainkan telah merambah ke dunia arsitektur dan teknik sipil.

Ceritanya, pada pertengahan Mei 2025 lalu, kolektif peneliti online berpseudonim Cookie Connoisseur mengunggah sejumlah gambar stempel yang mengatasnamakan sejumlah insinyur sipil asal Amerika Serikat dan Kanada. Dalam unggahannya itu, Cookie Connoisseur mengklaim bahwa stempel-stempel itu merupakan "hasil karya" insinyur gadungan Korut yang, umumnya, menawarkan jasa konsultasi teknik sipil dan teknik elektro, serta membuat gambar CAD.

Berangkat dari situ, The Fifth Estate yang merupakan lini dokumenter milik stasiun televisi CBC di Kanada kemudian melakukan investigasi dengan mewawancarai seorang arsitek yang namanya ikut tercatut. Arsitek itu bernama Stephen Mauro. Dalam gambar yang diunggah Cookie Connoisseur, stempel "Mauro" muncul dalam sebuah cetak biru untuk sebuah "studio butik" bikinan Global Creative Consultant Engineers (GCCE).

Ketika ditanyai oleh The Fifth Estate, Mauro mengaku tak pernah mendengar GCCE, tak pernah melihat gambar cetak biru itu sebelumnya, dan tak pernah memberi stempel apa pun. Selain itu, arsitek asal Toronto tersebut juga menunjukkan bahwa stempel miliknya berbeda dengan stempel yang digunakan untuk GCCE tadi.

Dalam dunia arsitektur, stempel seorang arsitek punya arti krusial. Jika sebuah dokumen sudah diberi stempel arsitek, itu artinya ada seorang profesional yang bertanggung jawab atas dokumen tersebut, entah karena dia sendiri yang membuatnya atau dialah yang melakukan supervisi atas pembuatan dokumen tersebut. Stempel macam itu pun tak sembarangan dikeluarkan karena harus melalui persetujuan asosiasi profesi.

Untuk kasus stempel palsu Mauro, CBC berhasil melacak sosok di balik GCCE, yaitu seorang bernama Faisal Hussain yang mengaku bahwa cetak biru untuk studio butik tadi adalah hasil karyanya yang "disupervisi" oleh seseorang yang mengaku Mauro. Tak tanggung-tanggung, Mauro gadungan ini telah bekerja bersama Hussain selama dua tahun dan tak pernah ada komplain berarti. Menariknya, Hussain tak pernah sekali pun melihat wajah atau mendengar suara "Mauro".

Lantas, apakah dokumen yang didapatkan Cookie Connoisseur itu asli? Menurut pakar keamanan siber Michael Barnhart, sih, begitu. Barnhart, yang disebut sebagai "wajah" dari Cookie Connnoisseur menyebut bahwa informasi tentang stempel arsitek palsu itu telah dikoroborasi oleh sejumlah peneliti keamanan siber lainnya. Barnhart juga menyiratkan bahwa pelaku pemalsuan stempel tersebut hanyalah satu operator.

Masih Proyek Kecil, Tapi Mesti Waspada

Sementara itu, laporan Kela sedikit berbeda, meskipun masih berkorelasi dengan temuan CBC. Investigasi mereka bermula ketika mulai banyak laporan mengenai akun-akun fiktif di LinkedIn dan GitHub. Mereka pun akhirnya sukses melacak sosok di baliknya, yaitu seorang operator asal Korut.

Dari aktivitasnya di GitHub, sosok ini terlihat layaknya seorang ahli di bidang teknologi informasi lewat demonstrasi di bidang AI dan machine learning, web development, otomasi, sampai pemrograman. Namun, dalam repositori GitHub-nya, kemudian ditemukan berbagai tautan Google Drive mencurigakan.

Dari berbagai tautan tersebut, ditemukanlah spreadsheet berisi ratusan alamat email yang digunakan untuk mendaftar di berbagai platform kerja lepas. Kemudian, ada pula spreadsheet berisi identitas lengkap, termasuk nama dan alamat email, milik orang-orang dari setiap negara bagian Amerika Serikat.

Tidak sampai di situ, ada pula folder-folder lain berisi resume yang diklasifikasi berdasarkan profesi, template proposal untuk klien desain interior dan eksterior, file-file yang berkaitan dengan identitas palsu seperti foto sampai petunjuk menggunakan platform pembayaran token kripto yang tak terlacak, nomor telepon virtual, profil LinkedIn palsu, sampai gambar-gambar untuk mengedit foto seperti gaya rambut yang berbeda-beda.

Dari situ terlihat jelas bagaimana operator Korut ini benar-benar memiliki amunisi yang cukup untuk mengecoh banyak calon klien. Namun, kehebatannya tak berhenti di situ. Cara kerja mereka pun begitu rapi dan terstruktur.

Pertama, dia selalu menggunakan IxBrowser. Dari situs web resminya, browser itu dideskripsikan sebagai "browser anti-deteksi selamanya", di mana pengguna bisa mengontrol seberapa banyak jejak digital yang dibagikan serta menciptakan profil sebanyak mungkin untuk berbagai akun

Kemudian, peretas Korut tersebut juga selalu menggunakan alamat email berbeda-beda untuk tiap kepentingan. Untuk mendaftar di platform pakai email A, untuk berkomunikasi pakai email B, dan ada pula email untuk manajemen internal. Dia juga selalu menggunakan dompet kripto dan proksi untuk menutupi jejak sebenarnya.

Tak lupa, peretas satu ini secara rutin menggunakan aplikasi penerjeman Inggris-Korea supaya selalu bisa berkomunikasi dengan baik. Geolokasi sosok ini mengindikasikan bahwa dirinya beroprasi dari kawasan Khabarovsk, bagian dari Rusia yang berbatasan dengan Tiongkok.

Lantas, mengapa aktivitas terbaru peretas Korut yang merambah dunia arsitektur dan teknik sipil ini berbahaya?

Saat ini, bangunan-bangunan yang mereka tangani memang masih sepele, mulai dari rumah, studio butik, kolam renang, sampai rumah pohon. Akan tetapi, tidak menutup kemungkinan, dari yang sepele ini mereka lantas membangun kredensial untuk bisa mengakses proyek-proyek yang lebih serius, semisal gedung pemerintahan atau pembangkit listrik.

Bisa dibilang, ini adalah perkembangan baru dari aktivitas para penjahat siber asal Korut. Biasanya, kepentingan mereka hanya sebatas mengumpulkan uang sebanyak-banyaknya untuk membiayai berbagai proyek negara mereka, termasuk proyek pengembangan senjata nuklir. Akan tetapi, ketika mereka sudah mulai merangsek ke ranah arsitektur dan teknik sipil, ada indikasi bahwa Korut sudah mulai ingin melakukan apa yang dilakukan oleh Tiongkok.

Peretas Tiongkok punya tempat tersendiri di kalangan hacker-hacker dunia. Pasalnya, tujuan mereka bukanlah uang, melainkan informasi. Dan ini sejalan dengan apa yang mulai dilakukan Korut lewat infiltrasi hacker mereka ke dunia arsitektur. Memang, sampai sekarang belum ditemukan kasus yang benar-benar "fatal", di mana mereka sukses mengakses infrastruktur sensitif. Namun, kewaspadaan betul-betul harus dibangun mulai dari sekarang, baik oleh swasta maupun pemerintah.