Peretas Korea Utara Gunakan AI Menipu HR! Menyamar Sebagai Insinyur, Diam-diam Mencuri Rp2,8 Triliun, Seluruh Proses Terbongkar

Peneliti keamanan BCA LTD, NorthScan, dan ANY.RUN menerapkan honeypot untuk memancing kelompok Lazarus Chollima, merekam secara penuh proses aksi peretasan Korea Utara dengan menyamar sebagai laptop pengembang. Video memperlihatkan agen Korea Utara menggunakan alat AI untuk menghasilkan jawaban wawancara yang sempurna, menyamarkan lokasi dan mengatur PIN tetap pada Google Remote Desktop demi memastikan kontrol jangka panjang, berfokus membangun citra karyawan teladan alih-alih menyerang secara langsung.

Kejahatan Siber Senilai $2,8 Miliar Jadi Penopang Ekonomi Korea Utara

Insiden ini hanyalah bagian dari ekosistem industri yang lebih besar, di mana penipuan pekerjaan telah menjadi sumber pendapatan utama rezim yang terkena sanksi. Kelompok pemantau sanksi multilateral baru-baru ini memperkirakan bahwa organisasi yang terkait dengan Pyongyang mencuri sekitar $2,83 miliar aset digital antara tahun 2024 hingga September 2025. Angka ini sekitar sepertiga dari pendapatan devisa Korea Utara, menunjukkan pencurian siber telah menjadi strategi ekonomi berdaulat.

Nilai $2,83 miliar setara dengan PDB tahunan banyak negara kecil. Dana ini digunakan untuk mendukung program senjata nuklir dan rudal balistik Korea Utara, sehingga memerangi hacker Korea Utara bukan sekadar isu keamanan siber, namun juga masalah keamanan internasional. Departemen Keuangan AS, FBI, dan banyak lembaga penegak hukum menempatkan pelacakan serta pencegahan kejahatan siber Korea Utara sebagai prioritas utama.

Setelah sanksi internasional memutus jalur perdagangan normal Korea Utara, kejahatan siber menjadi salah satu cara terpenting negara tersebut memperoleh devisa. Berbeda dengan penyelundupan senjata atau perdagangan narkoba konvensional, kejahatan siber berbiaya rendah, berisiko relatif kecil, dan berpotensi menghasilkan keuntungan besar. Satu tim peretas Korea Utara yang terlatih hanya membutuhkan komputer dan koneksi internet untuk mencuri jutaan dolar dari mana saja di dunia.

Operasi terindustrialisasi tingkat negara ini menunjukkan Korea Utara telah menjadikan kejahatan siber sebagai sumber daya strategis. Lazarus Group dan Chollima bukanlah peretas acak, melainkan tentara reguler yang mendapat pelatihan negara, gaji pemerintah, dan target misi yang jelas. Operasi mereka direncanakan matang, mulai dari pemilihan target, pemalsuan identitas, teknik teknologi hingga pencucian dana, setiap tahap ada spesialisasinya.

Empat Ciri Industrialisasi Kejahatan Siber Korea Utara

Sistem Pelatihan Negara: Seleksi talenta hacker sejak SMP, diberikan pelatihan teknis dan bahasa profesional

Penyebaran Global: Hacker Korea Utara tersebar di Tiongkok, Asia Tenggara, dan Rusia, mengurangi risiko pelacakan

Organisasi Terstruktur: Setiap tim bertanggung jawab atas infiltrasi, serangan, dan pencucian uang, meningkatkan efisiensi

Manajemen Berbasis Target: Setiap tim punya target pencurian tahunan, ada hadiah bagi yang mencapai target

Pada Februari 2025, sebuah bursa CEX besar menjadi korban serangan, membuktikan efektivitas serangan berbasis “faktor manusia”. Dalam insiden tersebut, hacker Korea Utara yang dikaitkan dengan TraderTraitor memanfaatkan kredensial internal yang dicuri untuk menyamarkan transfer eksternal menjadi transfer aset internal, hingga akhirnya mengendalikan smart contract cold wallet. CEX tersebut merugi lebih dari $1,4 miliar, menjadi salah satu pencurian terbesar dalam sejarah kripto.

Senjata AI: Transformasi Mematikan dari Produktivitas ke Daya Serang

(Sumber: BCA LTD)

Pemanfaatan alat AI produktivitas sebagai senjata oleh hacker Korea Utara adalah temuan paling mencemaskan dalam operasi honeypot ini. Mereka menggunakan perangkat lunak otomatisasi perekrutan legal, seperti Simplify Copilot dan AiApply, untuk menghasilkan jawaban wawancara dan mengisi formulir aplikasi secara massal. Alat ini seharusnya membantu pencari kerja meningkatkan efisiensi, kini justru menjadi senjata agen Korea Utara untuk menembus seleksi HR.

Simplify Copilot dapat otomatis membuat surat lamaran dan CV yang disesuaikan dengan deskripsi pekerjaan, AiApply mampu mensimulasikan jawaban wawancara teknis. Hacker Korea Utara menggabungkan alat ini dengan identitas asli insinyur AS yang dicuri, menciptakan aplikasi lamaran hampir sempurna. Bagian HR melihat CV sempurna, performa wawancara lancar, dan latar belakang identitas valid — tanpa alasan untuk curiga.

Pemanfaatan alat produktivitas Barat ini menyoroti tren peningkatan yang mengkhawatirkan: aktor negara memanfaatkan teknologi AI yang didesain untuk menyederhanakan proses rekrutmen guna mengalahkan sistem itu sendiri. Hal ini juga menyoroti dua sisi AI: alat yang sama bisa meningkatkan produktivitas sekaligus menjadi senjata serangan. Perusahaan yang mengadopsi alat rekrutmen AI harus mempertimbangkan risiko penyalahgunaan.

Investigasi menunjukkan hacker Korea Utara menyamarkan lokasi dengan mengalihkan trafik dan menggunakan layanan berbasis browser untuk menangani kode autentikasi ganda identitas curian. Kombinasi stack teknologi ini menunjukkan pemahaman mendalam atas sistem keamanan perusahaan Barat. Menyiasati pemeriksaan lokasi, layanan browser untuk menangani 2FA, serta identitas curian untuk latar belakang legal, membentuk sistem penyamaran lengkap.

Target utama bukan menghancurkan sasaran secara instan, melainkan mengendalikan jangka panjang. Agen menggunakan PowerShell untuk mengatur Google Remote Desktop dengan PIN tetap, memastikan kontrol tetap meski host mencoba mencabut akses. Mekanisme backdoor ini menandakan kesabaran dan perencanaan jangka panjang hacker Korea Utara, rela berbulan-bulan membangun kepercayaan demi kontrol penuh pada saat kritis.

Rekaman Honeypot Ungkap Rantai Serangan Lengkap dan Strategi Mitigasi

(Sumber: NorthScan)

Peneliti keamanan memancing agen Korea Utara ke “laptop pengembang” penuh jebakan dan merekam seluruh aksinya. Peneliti BCA LTD, NorthScan, dan platform analisis malware ANY.RUN berhasil menangkap evolusi kejahatan siber yang didukung negara secara real time. Operasi honeypot ini memberikan perspektif tak tertandingi untuk memahami rantai serangan hacker Korea Utara secara utuh.

Aksi dimulai saat peneliti membuat identitas pengembang dan menerima undangan wawancara dari seorang perekrut beralias “Aaron”. Perekrut tidak mengirim malware standar, melainkan mengarahkan target pada skema kerja remote yang umum di Web3. Ketika peneliti memberikan akses laptop, agen Korea Utara tidak mengeksploitasi celah kode, melainkan fokus membangun citra karyawan teladan.

Video ini memberikan gambaran paling jelas bagaimana unit Korea Utara, terutama Chollima yang terkenal, menembus firewall tradisional dengan direkrut langsung oleh HR negara target. Chollima adalah unit elit perang siber Korea Utara, dinamai dari mitologi kuda terbang Korea yang melambangkan kecepatan dan efisiensi, khusus menyerang institusi keuangan dan perusahaan kripto.

Pada dasarnya, mereka tidak langsung membobol wallet, melainkan berusaha menjadi orang dalam yang dipercaya untuk mendapat akses ke repository internal dan dashboard cloud. Mereka menjalankan program diagnosa sistem untuk verifikasi hardware, mengerjakan tugas pengembangan normal, mengikuti rapat tim — benar-benar berperilaku layaknya karyawan remote yang berdedikasi. Kesabaran dan kemampuan menyamar inilah yang paling berbahaya, membuat perusahaan nyaris mustahil mengenali ancaman sejak awal.

Enam Tahapan Rantai Serangan Hacker Korea Utara

Persiapan Identitas: Mencuri atau membeli dokumen identitas dan akun LinkedIn insinyur AS asli

Lamaran Dibantu AI: Menggunakan Simplify Copilot dan AiApply untuk menghasilkan aplikasi dan jawaban wawancara sempurna

Lolos Wawancara: Menunjukkan kemampuan teknis asli dan komunikasi bahasa Inggris lancar

Membangun Kepercayaan: Awal bekerja sangat profesional, menyelesaikan tugas pengembangan

Menanam Backdoor: Mengatur mekanisme kontrol persisten seperti Google Remote Desktop

Menunggu Peluang: Sabar bersembunyi hingga memperoleh akses sistem/kunci wallet penting

Dari KYC ke KYE: Pergeseran Paradigma Pertahanan Perusahaan

Bangkitnya rekayasa sosial membawa krisis tanggung jawab serius ke industri aset digital. Awal tahun ini, perusahaan keamanan seperti Huntress dan Silent Push mendokumentasikan jaringan perusahaan palsu, termasuk BlockNovas dan SoftGlide, dengan dokumen perusahaan AS sah dan profil LinkedIn terpercaya. Entitas ini menggunakan dalih technical assessment untuk menipu pengembang agar menginstal script berbahaya.

Bagi compliance officer dan CISO, tantangannya telah berubah. Protokol “Kenali Pelanggan Anda” (KYC) tradisional berfokus pada klien, namun workflow Lazarus menuntut standar “Kenali Karyawan Anda” (KYE) yang ketat. Pergeseran paradigma ini mengharuskan perusahaan meninjau ulang seluruh proses rekrutmen dan manajemen karyawan.

Departemen Kehakiman AS telah mulai menindak penipuan IT ini, menyita $7,74 juta terkait kasus tersebut, namun deteksi masih sangat tertinggal. $7,74 juta hanyalah sebagian kecil dari total kerugian $2,83 miliar, menunjukkan efektivitas penegakan hukum masih terbatas. Jaringan hacker Korea Utara tersebar di banyak negara, memanfaatkan anonimitas dan sifat lintas batas kripto, membuat pelacakan dan penuntutan sangat sulit.

Seperti diilustrasikan oleh operasi penegakan BCA LTD, satu-satunya cara menangkap kriminal ini mungkin dengan beralih dari pertahanan pasif ke penipuan aktif, menciptakan lingkungan terkendali yang memaksa aktor ancaman memperlihatkan teknik mereka sebelum memperoleh kontrol dana. Strategi pertahanan aktif ini menandai perubahan besar dalam pola pikir keamanan siber, dari membangun tembok ke memasang perangkap.

Lima Langkah Penting Proses KYE untuk Perusahaan Kripto

Wawancara Video Multi-Tahap: Wajib menyalakan kamera, amati ekspresi mikro dan detail lingkungan

Verifikasi Kemampuan Teknis Langsung: Uji coding live, bukan sekadar portofolio

Pemeriksaan Latar Mendalam: Hubungi mantan atasan, verifikasi ijazah, cek keaslian sejarah media sosial

Pemberian Akses Bertahap: Karyawan baru hanya mendapat akses sistem non-sensitif di awal, hak akses bertambah secara bertahap

Pemantauan Perilaku Anomali: Deteksi penggunaan alat penyamaran, jam kerja tidak biasa, dan pemasangan tools mencurigakan

Keberhasilan strategi honeypot menunjukkan bahwa menghadapi ancaman siber tingkat negara, pertahanan pasif saja tidaklah cukup. Perusahaan perlu bertindak proaktif, memasang sistem umpan untuk menarik dan mengidentifikasi ancaman potensial. Saat hacker Korea Utara mengira telah berhasil menembus sistem, mereka justru mengekspos alat, teknik, dan proses (TTPs) mereka ke komunitas keamanan.

Dari perspektif yang lebih luas, insiden ini menyoroti tantangan keamanan baru di era kerja remote. Saat anggota tim tersebar secara global dan tidak pernah bertatap muka, memastikan keaslian identitas setiap orang menjadi krusial. Industri kripto, karena nilai asetnya yang tinggi dan budaya remote yang kuat, menjadi target utama hacker Korea Utara. Perusahaan harus membangun verifikasi dan pemantauan karyawan yang lebih ketat tanpa mengorbankan fleksibilitas kerja jarak jauh.