Perampokan kripto senilai $2,8 miliar oleh Korea Utara mendanai ambisi militer
Korea Utara mengandalkan kelompok peretas yang didukung negara seperti Lazarus untuk mendanai militernya, dengan kripto curian menyumbang hampir sepertiga dari pendapatan mata uang asingnya dan menyediakan aliran dana ilegal yang stabil serta kebal terhadap sanksi tradisional.
- Korea Utara telah mencuri setidaknya $2,8 miliar dalam bentuk cryptocurrency sejak 2024, dengan dana tersebut menyumbang hampir sepertiga dari pendapatan mata uang asingnya.
- Kelompok peretas yang didukung negara menargetkan bursa dan penyedia kustodian melalui serangan rantai pasokan dan rekayasa sosial tingkat lanjut.
- Aset curian dicuci melalui mixer, cross-chain bridge, dan broker OTC Tiongkok, mengonversi kripto menjadi fiat untuk digunakan dalam program senjata dan misil.
Dalam laporan 22 Oktober, Multilateral Sanctions Monitoring Team menyatakan bahwa antara Januari 2024 dan September 2025, aktor Korea Utara mengatur pencurian cryptocurrency dengan total setidaknya $2,8 miliar, melalui kelompok peretas yang didukung negara dan aktor siber yang menargetkan sektor aset digital.
Bagian terbesar dari hasil curian berasal dari insiden besar, termasuk eksploitasi Bybit pada Februari 2025, yang sendiri menyumbang sekitar setengah dari total tersebut. Laporan tersebut mengaitkan eksploitasi ini dengan aktor ancaman Korea Utara yang sudah dikenal, menggunakan metode rantai pasokan, rekayasa sosial, dan kompromi dompet yang canggih.
Arsenal pencurian dan penghindaran Korea Utara yang canggih
Operasi kripto Korea Utara berputar di sekitar ekosistem ketat kelompok peretas yang terhubung dengan negara, terutama Lazarus, Kimsuky, TraderTraitor, dan Andariel, yang jejaknya muncul di hampir setiap pelanggaran aset digital besar dalam dua tahun terakhir.
Menurut analis keamanan siber, tim-tim ini beroperasi di bawah Reconnaissance General Bureau, badan intelijen utama Pyongyang, mengoordinasikan serangan yang meniru efisiensi sektor swasta. Inovasi utama mereka adalah melewati bursa sepenuhnya, dan malah menargetkan penyedia kustodian aset digital pihak ketiga yang digunakan bursa untuk penyimpanan aman.
Dengan mengkompromikan infrastruktur dari perusahaan seperti Safe(Wallet), Ginco, dan Liminal Custody, aktor Korea Utara mendapatkan kunci utama untuk menjarah dana dari klien termasuk Bybit, DMM Bitcoin dari Jepang, dan WazirX dari India.
Serangan terhadap DMM Bitcoin, yang menyebabkan kerugian $308 juta dan penutupan bursa tersebut, dimulai beberapa bulan sebelumnya ketika aktor TraderTraitor, menyamar sebagai perekrut di LinkedIn, menipu seorang karyawan Ginco untuk membuka file berbahaya yang disamarkan sebagai tes pra-wawancara.
Kelompok lain yang didukung negara beroperasi sejalan dengan upaya utama ini. Kolektif CryptoCore, meskipun kurang canggih, melakukan rekayasa sosial dalam volume tinggi, menyamar sebagai perekrut dan eksekutif bisnis untuk menyusup ke target.
Sementara itu, Citrine Sleet telah mengembangkan reputasi dalam menyebarkan perangkat lunak perdagangan cryptocurrency yang telah ditrojan. Dalam satu insiden terperinci pada Oktober 2024, aktor Citrine Sleet yang menyamar sebagai mantan kontraktor tepercaya di Telegram mengirimkan file ZIP berbahaya kepada pengembang di Radiant Capital, yang menyebabkan pencurian $50 juta.
Jejak pencucian uang mengarah kembali ke Korea Utara
Setelah dicuri, aset digital tersebut memasuki proses pencucian uang yang kompleks dalam sembilan langkah yang dirancang untuk menyamarkan asal-usulnya dan mengubahnya menjadi mata uang fiat yang dapat digunakan. Aktor siber DPRK secara sistematis menukar token curian ke dalam cryptocurrency mapan seperti Ethereum atau Bitcoin, lalu menggunakan berbagai layanan mixing termasuk Tornado Cash dan Wasabi Wallet.
Mereka kemudian memanfaatkan cross-chain bridge dan agregator seperti THORChain dan LI.FI untuk berpindah antar blockchain, sering kali mengonversi aset yang telah dicampur menjadi USDT berbasis Tron untuk dipersiapkan pencairan. Penyelidik mengatakan seluruh operasi ini bergantung pada jaringan broker over-the-counter, terutama di Tiongkok, yang menerima USDT hasil pencucian dan menyetorkan mata uang fiat yang setara ke rekening bank yang dikendalikan DPRK melalui kartu UnionPay Tiongkok.
Kampanye pencurian digital yang tak henti-hentinya ini memiliki konsekuensi nyata dan serius di dunia nyata. Miliar dolar yang disedot dari ekosistem kripto tidak hilang ke dalam kekosongan birokrasi. Laporan MSMT menyimpulkan bahwa aliran pendapatan ini sangat penting untuk memperoleh material dan peralatan bagi program senjata pemusnah massal dan misil balistik ilegal DPRK.
Dengan menyediakan aliran dana ilegal yang besar dan kebal terhadap sanksi keuangan tradisional, industri cryptocurrency global telah dipersenjatai, menjadi penyandang dana yang tidak diatur dan tidak disengaja bagi ambisi militer Pyongyang. Perampokan ini bukan sekadar kejahatan untuk keuntungan; mereka adalah tindakan kebijakan negara, mendanai pembangunan militer yang mengancam keamanan global.
