Baru-baru ini, seorang white hat hacker anonim berhasil membobol perangkat seorang pekerja TI Korea Utara, mengungkapkan bagaimana tim teknis yang terdiri dari lima orang menggunakan lebih dari 30 identitas palsu untuk beroperasi. Tim ini tidak hanya memiliki dokumen identifikasi palsu yang dikeluarkan oleh pemerintah, tetapi juga menyusup ke berbagai proyek pengembangan dengan membeli akun di platform online.
Penyelidik memperoleh data dari penyimpanan cloud tim, profil konfigurasi browser, dan tangkapan layar perangkat. Data menunjukkan bahwa tim ini sangat bergantung pada serangkaian alat dari perusahaan mesin pencari untuk mengoordinasikan jadwal kerja, membagikan tugas, dan mengelola anggaran, semua komunikasi dilakukan dalam bahasa Inggris.
Sebuah dokumen laporan mingguan tahun 2025 mengungkapkan pola kerja dan tantangan yang dihadapi oleh tim hacker tersebut. Misalnya, ada anggota yang melaporkan "tidak dapat memahami tuntutan kerja, tidak tahu harus melakukan apa", sedangkan solusi yang diberikan adalah "berinvestasi dengan hati-hati, bekerja lebih keras".
Rekaman rincian pengeluaran menunjukkan bahwa item pengeluaran mereka termasuk membeli nomor jaminan sosial (SSN), transaksi akun platform online, menyewa nomor telepon, berlangganan layanan AI, menyewa komputer, serta pengadaan layanan VPN dan proksi.
Salah satu spreadsheet mencatat dengan rinci jadwal dan skrip pembicaraan untuk menghadiri rapat dengan identitas palsu "Henry Zhang". Proses operasional menunjukkan bahwa para pekerja TI Korea Utara akan terlebih dahulu membeli akun platform online, menyewa perangkat komputer, dan kemudian menyelesaikan pekerjaan outsourcing melalui alat kontrol jarak jauh.
Salah satu alamat dompet yang mereka gunakan untuk mengirim dan menerima uang memiliki keterkaitan on-chain yang erat dengan insiden serangan protokol yang terjadi pada Juni 2025. Setelah penyelidikan, terkonfirmasi bahwa CTO protokol tersebut serta pengembang lainnya adalah pekerja IT Korea Utara yang menggunakan dokumen palsu. Melalui alamat tersebut juga diidentifikasi personel IT Korea Utara dari proyek infiltrasi lainnya.
Rekaman pencarian dan riwayat browser tim tersebut juga menemukan beberapa bukti kunci. Selain dokumen penipuan yang disebutkan di atas, riwayat pencarian mereka juga menunjukkan penggunaan alat terjemahan online yang sering, dan menggunakan IP Rusia untuk menerjemahkan konten ke dalam bahasa Korea.
Saat ini, tantangan utama yang dihadapi perusahaan dalam mencegah pekerja TI dari Korea Utara adalah:
Kurangnya kolaborasi sistemik: Kurangnya mekanisme berbagi informasi dan kerjasama yang efektif antara penyedia layanan platform dan perusahaan swasta;
Pihak yang mempekerjakan tidak waspada: Tim yang merekrut sering menunjukkan sikap defensif setelah menerima peringatan risiko, bahkan menolak untuk bekerja sama dalam penyelidikan;
Keunggulan jumlah yang berdampak: Meskipun teknik yang digunakan tidak rumit, tetapi dengan basis pencari kerja yang besar terus menerobos pasar kerja global;
Saluran konversi dana: Beberapa platform pembayaran sering digunakan untuk mengonversi pendapatan fiat dari pekerjaan pengembangan menjadi cryptocurrency.
Temuan ini memiliki makna positif tertentu untuk pengamanan proyek industri sebelum terjadi, memberikan kita kesempatan untuk memahami metode "kerja" hacker Korea Utara dari sudut pandang proaktif.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Mengungkap Tim Hacker IT Korea Utara: Lebih dari 30 identifikasi palsu menyusup ke proyek pengembangan global
Baru-baru ini, seorang white hat hacker anonim berhasil membobol perangkat seorang pekerja TI Korea Utara, mengungkapkan bagaimana tim teknis yang terdiri dari lima orang menggunakan lebih dari 30 identitas palsu untuk beroperasi. Tim ini tidak hanya memiliki dokumen identifikasi palsu yang dikeluarkan oleh pemerintah, tetapi juga menyusup ke berbagai proyek pengembangan dengan membeli akun di platform online.
Penyelidik memperoleh data dari penyimpanan cloud tim, profil konfigurasi browser, dan tangkapan layar perangkat. Data menunjukkan bahwa tim ini sangat bergantung pada serangkaian alat dari perusahaan mesin pencari untuk mengoordinasikan jadwal kerja, membagikan tugas, dan mengelola anggaran, semua komunikasi dilakukan dalam bahasa Inggris.
Sebuah dokumen laporan mingguan tahun 2025 mengungkapkan pola kerja dan tantangan yang dihadapi oleh tim hacker tersebut. Misalnya, ada anggota yang melaporkan "tidak dapat memahami tuntutan kerja, tidak tahu harus melakukan apa", sedangkan solusi yang diberikan adalah "berinvestasi dengan hati-hati, bekerja lebih keras".
Rekaman rincian pengeluaran menunjukkan bahwa item pengeluaran mereka termasuk membeli nomor jaminan sosial (SSN), transaksi akun platform online, menyewa nomor telepon, berlangganan layanan AI, menyewa komputer, serta pengadaan layanan VPN dan proksi.
Salah satu spreadsheet mencatat dengan rinci jadwal dan skrip pembicaraan untuk menghadiri rapat dengan identitas palsu "Henry Zhang". Proses operasional menunjukkan bahwa para pekerja TI Korea Utara akan terlebih dahulu membeli akun platform online, menyewa perangkat komputer, dan kemudian menyelesaikan pekerjaan outsourcing melalui alat kontrol jarak jauh.
Salah satu alamat dompet yang mereka gunakan untuk mengirim dan menerima uang memiliki keterkaitan on-chain yang erat dengan insiden serangan protokol yang terjadi pada Juni 2025. Setelah penyelidikan, terkonfirmasi bahwa CTO protokol tersebut serta pengembang lainnya adalah pekerja IT Korea Utara yang menggunakan dokumen palsu. Melalui alamat tersebut juga diidentifikasi personel IT Korea Utara dari proyek infiltrasi lainnya.
Rekaman pencarian dan riwayat browser tim tersebut juga menemukan beberapa bukti kunci. Selain dokumen penipuan yang disebutkan di atas, riwayat pencarian mereka juga menunjukkan penggunaan alat terjemahan online yang sering, dan menggunakan IP Rusia untuk menerjemahkan konten ke dalam bahasa Korea.
Saat ini, tantangan utama yang dihadapi perusahaan dalam mencegah pekerja TI dari Korea Utara adalah:
Temuan ini memiliki makna positif tertentu untuk pengamanan proyek industri sebelum terjadi, memberikan kita kesempatan untuk memahami metode "kerja" hacker Korea Utara dari sudut pandang proaktif.