Kelompok peretas Korea Utara, Lazarus Group, kembali menjadi sorotan. Dikenal sebagai aktor siber yang sangat agresif di dunia kripto, mereka kini diketahui menjalankan operasi berbahaya langsung dari wilayah AS.
Melalui dua perusahaan palsu yang didaftarkan secara legal di negara bagian New Mexico dan New York, kelompok ini berhasil mengelabui sistem untuk melancarkan taktik serangan terhadap para pengembang kripto.
Temuan ini diungkap dalam laporan Reuters pada 24 April, yang mengutip informasi dari perusahaan keamanan Silent Push. Mereka mengidentifikasi dua entitas yang digunakan oleh kelompok hacker Korea Utara.
Entitas pertama adalah Blocknovas LLC dan Softglide LLC, yang keduanya didaftarkan menggunakan identitas dan alamat palsu. Satu entitas lainnya, Angeloper Agency, juga dikaitkan dengan kampanye ini meskipun tidak terdaftar secara resmi di AS.
“Ini adalah contoh langka di mana kelompok peretas Korea Utara berhasil mendirikan entitas korporat legal di AS untuk digunakan sebagai kedok dalam menyerang pencari kerja di industri kripto,” ujar Kasey Best, Direktur Intelijen Ancaman di Silent Push.
Penyebaran Malware Lewat Loker Palsu
Melalui perusahaan-perusahaan bayangan ini, kelompok peretas Korea Utara merancang taktik serangan dengan skenario wawancara kerja palsu untuk menipu para korban—kebanyakan merupakan developer atau tenaga teknis di ekosistem kripto.
“Serangan ini memanfaatkan persona palsu yang menawarkan wawancara kerja, yang kemudian mengarah pada penyebaran malware canggih untuk meretas dompet kripto para pengembang. Mereka juga menargetkan password dan kredensial para pengembang,” kata Best.
Begitu korban merasa percaya, malware pun disisipkan. Tujuan utama Lazarus Group adalah mencuri cryptocurrency dari dompet digital korban, mendapatkan kredensial penting, serta membuka akses lebih luas ke jaringan internal perusahaan target.
Saat tim redaksi Blockchainmedia memeriksa langsung, situs Blocknovas sudah disita oleh FBI. Di halaman tersebut, tercantum informasi bahwa domain itu digunakan dalam “aksi penegakan hukum terhadap aktor siber Korea Utara.”
Silent Push juga mengungkap bahwa Blocknovas merupakan entitas paling aktif di antara ketiga perusahaan tersebut. Mereka mengkonfirmasi adanya korban yang telah terinfeksi, meskipun identitas tidak diungkapkan dalam laporan itu.
Pelanggaran Serius oleh Lazarus Group
Keberadaan perusahaan ini jelas merupakan pelanggaran terhadap sanksi yang ditetapkan oleh Kantor Pengawasan Aset Asing (OFAC) di bawah Departemen Keuangan AS. Selain itu, tindakan ini juga melanggar sanksi PBB yang melarang aktivitas komersil Korea Utara.
Berdasarkan dokumen yang diperoleh Reuters, Blocknovas tercatat menggunakan alamat yang ternyata hanyalah sebidang lahan kosong di South Carolina, sementara Softglide didaftarkan melalui kantor pajak kecil di Buffalo, New York.
Pemerintah negara bagian mengaku tidak memiliki mekanisme untuk mendeteksi hubungan perusahaan-perusahaan ini dengan Lazarus Group jika proses pendaftaran dilakukan sesuai dengan aturan administratif yang berlaku.
Aktivitas ini menggambarkan strategi kelompok peretas Korea Utara dalam mencari dana untuk rezimnya, yang kini semakin lihai menyusup ke sistem yang lebih teknis, seperti menargetkan developer blockchain.
Dengan modus yang semakin canggih dan taktik serangan yang terus berkembang, industri kripto kini menghadapi tantangan baru: bukan hanya dari fluktuasi pasar, tetapi juga dari ancaman siber yang berasal dari peretas terorganisir di tingkat negara. [dp]