DPRK Threat Actors adalah istilah yang merujuk pada kelompok peretas atau aktor ancaman siber yang memiliki afiliasi langsung dengan pemerintah Republik Rakyat Demokratik Korea (Korea Utara). Pengertian sederhananya, mereka ini adalah “pasukan khusus” di dunia maya yang disponsori negara, bukan cuma buat mata-mata, tapi utamanya buat mencuri aset kripto secara masif demi mendanai rezim. Bisa dibilang, mereka ini mesin pencari uang ilegal berteknologi tinggi yang bikin pusing lembaga keuangan dunia.
Tahun 2025 ini rasanya jadi momen yang cukup kelam buat keamanan siber global, khususnya di sektor mata uang digital. Bagaimana nggak, para aktor ancaman dari Korea Utara ini sukses menjadi dalang utama lonjakan pencurian kripto di seluruh dunia. Bayangkan saja, kalian harus tahu kalau dari total sekitar $3,4 miliar uang kripto yang dicuri dari Januari sampai awal Desember, kira-kiranya $2,02 miliar itu adalah ulah mereka. Ini bukan angka yang sedikit, lho. Kalau kita lihat datanya, ada kenaikan 51% dibanding tahun sebelumnya. Jadi, sepertinya mereka makin agresif dan sebegitunya niat buat bobol sana-sini demi cuan. Bahkan, firma intelijen blockchain Chainalysis bilang kalau ini adalah tahun terparah dalam rekor pencurian kripto oleh DPRK.
Salah satu kasus yang bikin geleng-geleng kepala dan menjadi bukti keganasan mereka adalah kompromi bursa kripto Bybit di bulan Februari lalu. Kasus ini sendirian saja menyumbang $1,5 miliar dari total jarahan mereka tahun ini. Serangan masif ini dikaitkan dengan kluster ancaman yang dikenal sebagai TraderTraitor (atau kadang disebut Jade Sleet). Ada analisis teknis yang menemukan kalau komputer yang kena malware Lumma Stealer ternyata terhubung ke infrastruktur peretas ini lewat email tertentu. Nggak cuma itu, mereka juga diduga kuat terlibat dalam pencurian $36 juta dari Upbit, bursa kripto terbesar di Korea Selatan, belum lama ini.
Kalau kalian sering dengar nama Lazarus Group, nah mereka inilah salah satu pemain utamanya yang berafiliasi dengan Biro Umum Pengintaian (RGB) Pyongyang. Mereka punya rekam jejak panjang, termasuk kampanye “Operation Dream Job”. Modusnya begitunya licik banget, mereka mendekati karyawan di sektor pertahanan atau teknologi lewat LinkedIn atau WhatsApp, menawarkan gaji gede dan posisi mentereng. Padahal, tujuannya cuma satu: supaya korban mengunduh malware kayak BURNBOOK atau BADCALL. Intinya mereka mau curi data rahasia sekaligus cari duit buat negara yang lagi kena banyak sanksi internasional itu.
Selain taktik hacking langsung, ada juga metode lain yang kuranglebihnya cukup unik dan menipu, yaitu menyusupkan pekerja IT mereka ke perusahaan global. Skema ini dikenal dengan nama “Wagemole”. Mereka bisa pakai identitas palsu atau lewat perusahaan cangkang. Malahan, strategi ini sekarang makin berkembang dengan cara merekrut “kolaborator” lewat platform freelance. Ada kasus nyata di mana warga Maryland dihukum penjara karena membiarkan identitasnya dipakai orang Korea Utara buat kerja remote di perusahaan AS. Begitunya si pekerja palsu ini masuk, mereka bisa dapat akses istimewa ke sistem dan memuluskan jalan buat pencurian besar-besaran.
Nah, setelah berhasil mencuri, uangnya tentu nggak langsung dipakai begitu saja karena pasti terlacak. Ada proses pencucian uang yang rumit banget, yang seringkali melibatkan jaringan profesional berbahasa Mandarin. Kira-kiranya begini alur pencucian uang yang mereka lakukan secara terstruktur dalam siklus 45 hari pasca peretasan:
- Wave 1: Immediate Layering (Hari 0-5)
Pada tahap yang paling awal ini, dana yang baru saja dicuri langsung dipindahkan secepat mungkin dari dompet sumber. Mereka biasanya menggunakan protokol DeFi dan layanan mixing untuk mengaburkan jejak awal transaksi supaya nggak gampang dilacak oleh pihak berwenang. - Wave 2: Initial Integration (Hari 6-10)
Setelah jejaknya agak kabur, dana tersebut kemudian digeser ke bursa mata uang kripto (exchanges), layanan mixing tingkat kedua, atau jembatan lintas rantai (cross-chain bridges) kayak XMRt. Langkah ini bikin aliran dananya makin pusing buat diikuti karena sudah melompat-lompat antar platform. - Wave 3: Final Integration (Hari 20-45)
Ini adalah tahap akhirnya. Di sini mereka menggunakan layanan yang memfasilitasi konversi akhir ke mata uang fiat (uang tunai asli) atau aset lainnya. Rasanya mereka sangat terorganisir karena memakai layanan pencucian uang profesional dan pedagang over-the-counter (OTC) di wilayah Asia-Pasifik.
Melihat pola serangan yang makin canggih, variatif, dan terstruktur ini, rasanya kita semua—baik individu maupun perusahaan—harus ekstra waspada. Ancaman dari DPRK ini bukan lagi sekadar gangguan siber biasa, tapi operasi tingkat negara yang sangat serius mengejar profit miliaran dolar. Pola rekrutmen palsu dan penyusupan pekerja IT jadi alarm keras buat proses verifikasi di dunia kerja remote saat ini. Jadi, rekan-rekanita, mari kita simpulkan bahwa keamanan aset digital itu krusial dan kita perlu lebih teliti lagi menjaga data pribadi, karena sepertinya badai serangan siber ini belum akan reda dalam waktu dekat. Terimakasih sudah membaca ulasan ini sampai tuntas.