Berikut adalah bagaimana peretas Korea Utara masih dibayar dalam crypto meskipun ada sanksi

TRM Labs mengatakan bahwa pekerja TI Korea Utara telah mencuci jutaan dalam USDC dan USDT sambil secara diam-diam bekerja untuk startup blockchain.

Korea Utara terus mengandalkan crypto untuk secara diam-diam mendanai program senjatanya dan pemerintah AS meningkatkan upaya untuk menghentikannya. Pada 8 Juli, Kantor Pengawasan Aset Asing Departemen Keuangan AS menjatuhkan sanksi terhadap seorang peretas Korea Utara, Song Kum Hyok, yang mereka katakan membantu mengatur skema luas yang melibatkan pekerja jarak jauh palsu di perusahaan teknologi dan crypto yang tidak curiga.

Menurut laporan terbaru dari perusahaan forensik blockchain TRM Labs, Song terhubung dengan Andariel, sebuah unit kejahatan siber yang merupakan bagian dari intelijen militer Korea Utara. Mereka menjelaskan bahwa ia memainkan peran kunci dalam menempatkan pekerja TI — yang sebagian besar sebenarnya adalah operatif Korea Utara — ke dalam pekerjaan di perusahaan-perusahaan AS dengan menggunakan identitas Amerika yang dicuri dan dokumen palsu.

Banyak dari pekerjaan ini berada di web3, infrastruktur kripto, atau pengembangan perangkat lunak terkait blockchain.

TRM Labs mengatakan bahwa para pekerja ini beroperasi dari negara-negara seperti China dan Rusia sambil berpura-pura menjadi freelancer yang berbasis di AS. Mereka dibayar dalam stablecoin seperti USD Coin (USDC) dan Tether (USDT). Dari sana, uang tersebut tampaknya mengalir melalui lapisan dompet, mixer, dan layanan konversi sebelum akhirnya sampai ke tangan rezim Korea Utara.

“Departemen Keuangan tetap berkomitmen untuk menggunakan semua alat yang tersedia untuk menggagalkan upaya rezim Kim untuk menghindari sanksi melalui pencurian aset digital, upaya penyamaran warga Amerika, dan serangan siber yang jahat.”

Wakil Sekretaris Perbendaharaan, Michael Faulkender

Para analis di TRM Labs menunjukkan bahwa ini hanya tanda terbaru bahwa Biro Umum Riset Korea Utara — lembaga yang sama di balik Lazarus dan Bluenoroff — masih menggunakan taktik siber untuk mendukung tujuan militer. Pejabat Departemen Keuangan, mereka catat, telah memperingatkan bahwa pencurian kripto dan penipuan identitas tetap menjadi inti strategi Korea Utara untuk menghindari tekanan ekonomi.

Para analis menjelaskan bahwa skema yang diungkap oleh OFAC sangat bergantung pada persona palsu. Song diduga bertanggung jawab untuk membangun identitas palsu tersebut, menggunakan data yang dicuri dari warga negara AS yang nyata. Setelah dipekerjakan, agen-agen Korea Utara mungkin telah bekerja selama berbulan-bulan atau bahkan bertahun-tahun di perusahaan-perusahaan AS dengan nama samaran.

Mereka juga mencatat bahwa OFAC menjatuhkan sanksi kepada empat perusahaan dan satu orang lain yang terhubung dengan jaringan berbasis Rusia yang diduga membantu mengelola pekerjaan TI palsu ini. Bisnis-bisnis ini dilaporkan menandatangani kontrak jangka panjang dengan perusahaan yang terkait dengan DPRK dan menyadari bahwa mereka berurusan dengan pekerja Korea Utara.

Banyak pekerja yang menargetkan pekerjaan di sektor kripto secara khusus, di mana pembayaran lebih mudah untuk dianonimkan. Setelah kripto diterima, analis TRM Labs mengatakan, itu disebar ke beberapa dompet dan akhirnya dikonversi menjadi fiat menggunakan broker OTC, beberapa di antaranya telah dijatuhi sanksi sebelumnya.

Aliansi siber

Tindakan terbaru OFAC mengikuti serangkaian langkah terkoordinasi oleh agensi-agensi AS, termasuk Departemen Kehakiman dan FBI. Pada 5 Juni 2025, DOJ juga mengajukan pengaduan penyitaan sipil yang bertujuan untuk menyita lebih dari $7,7 juta dalam crypto, NFT, dan aset digital lainnya yang diyakini terhubung dengan jaringan Korea Utara yang sama.

TRM Labs mengatakan bahwa para pekerja menggunakan identitas seperti "Joshua Palmer" dan "Alex Hong" untuk diterima bekerja di startup kripto dan perusahaan teknologi lainnya. Mereka dibayar dengan stablecoin, dengan hasil yang dialihkan melalui bursa terpusat, dompet yang di-hosting sendiri, dan kemudian kepada tokoh rezim tingkat tinggi seperti Kim Sang Man dan Sim Hyon Sop, yang keduanya sudah dikenakan sanksi oleh AS.

Menurut para analis, penyelidikan DOJ mengungkapkan bahwa sebagian dari operasi tersebut bergantung pada infrastruktur yang berbasis di Rusia dan UEA. Para penyelidik menemukan penggunaan alamat IP lokal dan dokumentasi palsu, yang membantu para pekerja Korea Utara menyembunyikan identitas asli mereka. Hal ini, kata mereka, menegaskan seberapa internasional skema tersebut telah menjadi.

Aktivitas on-chain terkait dompet pekerja TI DPRK | Sumber: TRM LabsData blockchain yang ditinjau oleh TRM menunjukkan bahwa setelah dana mencapai dompet tingkat menengah, uang tersebut dibagi menjadi bagian yang lebih kecil, diarahkan melalui alat peningkatan privasi, dan akhirnya ditukar menjadi fiat melalui meja OTC. Salah satu broker OTC tersebut telah dikenakan sanksi oleh OFAC pada akhir 2024.

Dalam hal upaya penegakan hukum, FBI dan lembaga lainnya berhasil menyita sebagian dari aset digital yang dicuci, termasuk USDC, ETH, dan beberapa NFT bernilai tinggi. Para analis menggambarkan penyitaan ini sebagai bagian dari strategi pencucian yang lebih luas yang dimaksudkan untuk memecah jejak uang dan membuat deteksi jauh lebih sulit.

TRM Labs mengatakan bahwa tindakan terbaru pemerintah AS mengirimkan pesan bahwa crypto tetap menjadi saluran berisiko tinggi untuk penghindaran sanksi, terutama terkait dengan operasi Korea Utara. Perusahaan intel blockchain memperingatkan bahwa perusahaan yang mempekerjakan pengembang jarak jauh — terutama di ruang blockchain — perlu lebih berhati-hati dalam memverifikasi dengan siapa mereka benar-benar berurusan.