Bagaimana Operasi Peretasan Korea Utara Mempertahankan Lebih dari 30 Identitas Palsu di Berbagai Platform Global

Penyelidikan terbaru terhadap perangkat pekerja TI Korea Utara yang dikompromikan telah mengungkap cetak biru operasional dari sebuah tim teknis canggih yang terdiri dari lima orang yang mengelola jaringan besar persona online penipuan. Pengungkapan ini, yang dibagikan oleh detektif on-chain terkenal ZachXBT, memberikan wawasan yang belum pernah terjadi sebelumnya tentang bagaimana para aktor ini secara sistematis menyusup ke proyek pengembangan cryptocurrency dan perusahaan teknologi global.

Infrastruktur di Balik Penipuan Identitas Massal

Model operasional tim ini bergantung pada pembelian akun yang sudah ada dan penggunaan alat akses jarak jauh. Strategi akuisisi mereka meliputi membeli profil Upwork dan LinkedIn, memperoleh nomor jaminan sosial palsu (SSNs), serta menyewa nomor telepon dan peralatan komputer. Setelah dilengkapi, mereka menggunakan perangkat lunak desktop jarak jauh AnyDesk untuk menyelesaikan pekerjaan pengembangan outsourcing di berbagai platform secara bersamaan.

Catatan pengeluaran yang dipulihkan dari sistem mereka mengungkapkan rantai pasokan yang canggih: pemroses pembayaran cryptocurrency seperti Payoneer mengonversi pendapatan fiat menjadi aset digital, sementara langganan layanan AI dan layanan VPN/proxy terbalik menyembunyikan lokasi geografis dan jejak operasional mereka yang sebenarnya. Pendekatan berlapis ini memungkinkan mereka mempertahankan akses permanen ke pasar tenaga kerja global meskipun berulang kali mengalami upaya pengungkapan.

Alur Kerja Operasional dan Tantangan Internal

Dokumen Google Drive dan profil Chrome yang terbongkar mengungkapkan alur kerja internal yang tampaknya cukup biasa. Laporan kinerja mingguan merinci penugasan tugas, alokasi anggaran, dan catatan pemecahan masalah. Satu entri menangkap frustrasi salah satu anggota tim: “tidak memahami kebutuhan pekerjaan dan tidak tahu apa yang harus dilakukan,” dengan tanggapan pengawas hanya menyatakan “dedikasikan diri dan bekerja lebih keras.”

Jadwal rinci menunjukkan bagaimana identitas fiktif seperti “Henry Zhang” digunakan di berbagai proyek dengan protokol rapat yang telah disusun. Regulasi ini menunjukkan manajemen terpusat meskipun tersebar secara geografis—sebuah kerentanan kritis yang akhirnya menyebabkan penemuan mereka.

Jejak Keuangan dan Konfirmasi Identitas

Alamat dompet utama (0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c) yang terhubung dengan serangan protokol Favrr sebesar $680.000 pada Juni 2025 memberikan terobosan besar pertama. Korban serangan, CTO dan pengembang yang dikompromikan, kemudian dikonfirmasi sebagai pekerja TI Korea Utara yang beroperasi dengan kredensial palsu. Alamat ini menjadi pengidentifikasi penting yang menghubungkan tim dengan beberapa insiden infiltrasi di seluruh industri.

Bukti linguistik terbukti sama-sama mematikan. Riwayat pencarian mengungkapkan ketergantungan yang sering pada Google Translate dengan terjemahan berbahasa Korea yang diproses melalui alamat IP Rusia—pola geoip terbalik yang tidak konsisten dengan lokasi pekerja yang diklaim.

Tantangan Meningkat untuk Pertahanan Perusahaan

Penyelidikan ini menyoroti kerentanan sistemik dalam arsitektur keamanan saat ini:

Kesenjangan Koordinasi Platform: Penyedia layanan dan perusahaan swasta kekurangan mekanisme berbagi intelijen yang formal, memungkinkan identitas penipuan yang sama beredar di berbagai platform tanpa terdeteksi.

Praktik Perekrutan Reaktif: Perusahaan yang menjadi target sering kali bersikap defensif ketika dihadapkan pada peringatan risiko, memprioritaskan kelangsungan operasional di atas kerja sama investigasi keamanan.

Keunggulan Skala Numerik: Meskipun tingkat kecanggihan teknis individu tetap moderat, volume besar upaya infiltrasi—yang memanfaatkan kumpulan bakat yang besar—mengatasi proses penyaringan tradisional.

Konversi Pembayaran Cryptocurrency: Kemudahan mengonversi pendapatan fiat menjadi aset digital melalui platform yang mudah diakses menghilangkan hambatan perbankan tradisional yang secara historis menangkap operatif asing.

Kerentanan operasional ini tetap ada bukan karena keahlian perdagangan yang canggih, tetapi karena deteksi membutuhkan kolaborasi lintas platform yang proaktif yang saat ini belum ada secara skala di industri cryptocurrency dan teknologi.