Hacker Korea Utara Dirikan Perusahaan Cangkang di AS Buat Retas Pengembang Kripto

Liputan6.com, Jakarta - Peretas Korea Utara yang terkait dengan Lazarus Group berhasil mendirikan perusahaan cangkang di Amerika Serikat (AS) untuk mendistribusikan malware kepada pengembang mata uang kripto. Perusahaan cangkang ini digunakan untuk lepas dari sanksi AS.

Dikutip dari cryptopotato, Senin (28/4/2025), firma keamanan siber Silent Push mengungkapkan bahwa dua perusahaan—Blocknovas LLC di New Mexico dan Softglide LLC di New York—dibentuk menggunakan nama, alamat, dan dokumentasi palsu, yang membantu pelaku Korea Utara menyamar sebagai pemberi kerja sah yang menawarkan pekerjaan di industri kripto.

Entitas ketiga, Angeloper Agency, juga telah dikaitkan dengan kampanye tersebut tetapi belum terdaftar di negara tersebut.

Silent Push mengaitkan operasi tersebut dengan subkelompok di Lazarus Group, unit peretasan yang disponsori Korea Utara yang beroperasi di bawah Biro Umum Pengintaian negara tersebut. Kelompok tersebut dikenal karena perannya dalam pencurian siber dan aktivitas spionase yang terkenal.

Dalam operasi ini, para peretas menggunakan profil profesional dan lowongan pekerjaan palsu untuk mendekati pengembang, terutama di platform seperti LinkedIn. Setelah kontak dibuat, para korban diundang ke "wawancara" di mana mereka didorong untuk mengunduh malware yang disamarkan sebagai perangkat lunak perekrutan atau penilaian teknis.

Blocknovas adalah entitas yang paling aktif, dengan beberapa korban yang sudah dikonfirmasi. Alamat fisiknya yang terdaftar di South Carolina ternyata adalah tanah kosong.

Sementara itu, Softglide didaftarkan melalui layanan persiapan pajak yang berbasis di Buffalo, yang semakin mempersulit upaya untuk melacak mereka yang berada di balik operasi tersebut.

Malware yang digunakan termasuk jenis yang sebelumnya dikaitkan dengan unit siber Korea Utara, yang mampu melakukan pencurian data, akses jarak jauh, dan infiltrasi jaringan lebih lanjut.

FBI telah menyita domain Blocknovas, dengan pemberitahuan di situs webnya yang menunjukkan bahwa domain tersebut digunakan untuk menipu para pencari kerja dan menyebarkan malware.

Lazarus Group telah berulang kali mengeksploitasi kesempatan kerja palsu untuk mengirimkan malware. Misalnya, mereka telah meluncurkan kampanye siber yang disebut “ClickFix” yang menargetkan para pencari kerja di sektor kripto keuangan terpusat (CeFi).

Perusahaan keamanan siber Sekoia baru-baru ini mengungkapkan bahwa kelompok tersebut menyamar sebagai perusahaan seperti Coinbase dan Tether untuk memikat pelamar pemasaran dan bisnis ke dalam wawancara palsu.

Salah satu pencurian kripto terbesar Lazarus terjadi pada 2021, ketika tawaran pekerjaan palsu menyebabkan peretasan Ronin Bridge senilai USD 625 juta yang menargetkan Axie Infinity.

Sebelumnya, FBI dan pakar keamanan dunia maya telah mendeteksi aksi jahat yang menggunakan alat konversi PDF palsu untuk menginfeksi komputer dan mencuri data dompet kripto. Masalah ini tersebar luas di seluruh Amerika Serikat (AS), dengan sejumlah insiden baru-baru ini dilaporkan.

Dikutip dari coinmarketcap, Kamis (23/4/2025), penjahat dunia maya memanfaatkan situs web PDF palsu yang meniru platform yang sah untuk mendistribusikan malware, yang menimbulkan risiko signifikan bagi pengguna kripto dengan kemungkinan mencuri kripto dari dompet digital. Pihak berwenang menekankan pentingnya untuk peningkatan kewaspadaan.

 Spesial Agen FBI Denver Marvin Massey mengatakan, Penipuan ini telah merajalela di seluruh Amerika Serikat, dan bahwa sebuah insiden tercatat di wilayah Denver dalam dua minggu terakhir.

Perangkat lunak jahat disebar oleh pencuri di dunia maya dengan menggunakan alat PDF-ke-DOCX palsu yang mereplikasi layanan tepercaya.

Tim Riset Keamanan CloudSEK mengidentifikasi malware, ArechClient2, yang mengonfirmasi penyebarannya dengan peringatan FBI. Pencurian ini memanfaatkan metode rekayasa sosial tingkat lanjut untuk menipu pengguna.

FBI Denver memainkan peran penting dengan memperingatkan masyarakat dan industri tentang prevalensi dan kecanggihan ancaman tersebut. Saran mereka, sebagaimana tercantum dalam Peringatan FBI tentang Penipuan Pengonversi Berkas Daring, menyoroti pentingnya mengenali perubahan kecil pada URL situs web, yang dapat mengindikasikan aktivitas penipuan.

Dampak finansialnya masih belum jelas. Aset kripto seperti Bitcoin (BTC) dan Ethereum (ETH_ sangat rentan, yang berpotensi mengakibatkan pengurasan dompet dan anomali transaksi. Pengguna didesak untuk memprioritaskan langkah-langkah keamanan.

Pihak berwenang telah mengeluarkan peringatan resmi, tetapi belum ada gangguan pasar berskala besar. Para pelaku kripto tetap harus waspada, karena insiden serupa di masa lalu telah mengakibatkan pencurian aset yang substansial.