Laporan Baru Mengungkap Jangkauan Mengkhawatirkan Para Peretas Crypto Korea Utara

Menurut laporan yang dirilis oleh Multilateral Sanctions Monitoring Team (MSMT), peretas yang terkait dengan Korea Utara telah mencuri aset virtual senilai $2,83 miliar antara tahun 2024 hingga September 2025.

Laporan tersebut menekankan bahwa Pyongyang tidak hanya unggul dalam pencurian, tetapi juga memiliki metode canggih untuk melikuidasi hasil kejahatan tersebut.

Pendapatan dari Peretasan Menyumbang Sepertiga dari Mata Uang Asing Negara

MSMT adalah koalisi multinasional yang terdiri dari 11 negara, termasuk AS, Korea Selatan, dan Jepang. Koalisi ini didirikan pada Oktober 2024 untuk mendukung pelaksanaan sanksi Dewan Keamanan PBB terhadap Korea Utara.

Menurut MSMT, $2,83 miliar yang dicuri dari 2024 hingga September 2025 adalah angka yang sangat penting.

“Hasil pencurian aset virtual Korea Utara pada tahun 2024 mencapai sekitar sepertiga dari total pendapatan mata uang asing negara tersebut,” catat tim tersebut.

Skala pencurian meningkat secara dramatis, dengan $1,64 miliar dicuri hanya pada tahun 2025, mewakili peningkatan lebih dari 50% dari $1,19 miliar yang diambil pada tahun 2024, meskipun angka tahun 2025 belum termasuk kuartal terakhir.

Peretasan Bybit dan Sindikat TraderTraitor

MSMT mengidentifikasi peretasan bursa global Bybit pada Februari 2025 sebagai kontributor utama lonjakan pendapatan ilegal pada tahun 2025. Serangan ini dikaitkan dengan TraderTraitor, salah satu organisasi peretasan paling canggih di Korea Utara.

Penyelidikan mengungkap bahwa kelompok tersebut mengumpulkan informasi terkait SafeWallet, penyedia dompet multi-tanda tangan yang digunakan oleh Bybit. Mereka kemudian mendapatkan akses tidak sah melalui email phishing.

Mereka menggunakan kode berbahaya untuk mengakses jaringan internal, menyamarkan transfer eksternal sebagai pergerakan aset internal. Hal ini memungkinkan mereka mengambil alih kendali kontrak pintar dompet dingin.

MSMT mencatat bahwa dalam peretasan besar selama dua tahun terakhir, Korea Utara sering memilih menargetkan penyedia layanan pihak ketiga yang terhubung ke bursa. Hal ini dilakukan daripada menyerang bursa itu sendiri.

Mekanisme Pencucian Sembilan Langkah

MSMT merinci proses pencucian sembilan langkah yang teliti yang digunakan Korea Utara untuk mengubah aset virtual curian menjadi mata uang fiat:

1. Penyerang menukar aset curian dengan cryptocurrency seperti ETH di Decentralized Exchange (DEX).

2. Mereka ‘mencampur’ dana menggunakan layanan seperti Tornado Cash, Wasabi Wallet, atau Railgun.

3. Mereka mengonversi ETH ke BTC melalui layanan bridge.

4. Mereka memindahkan dana ke dompet dingin setelah melewati akun bursa terpusat.

5. Mereka menyebarkan aset ke dompet berbeda setelah putaran pencampuran kedua.

6. Mereka menukar BTC ke TRX (Tron) menggunakan bridge dan perdagangan P2P.

7. Mereka mengonversi TRX ke stablecoin USDT.

8. Mereka mentransfer USDT ke broker Over-the-Counter (OTC).

9. Broker OTC melikuidasi aset menjadi mata uang fiat lokal.

Jaringan Global Memfasilitasi Penarikan Tunai

Tahap paling menantang adalah mengonversi crypto menjadi fiat yang dapat digunakan. Hal ini dilakukan dengan menggunakan broker OTC dan perusahaan keuangan di negara pihak ketiga, termasuk China, Rusia, dan Kamboja.

Laporan tersebut menyebutkan individu-individu tertentu. Ini termasuk warga negara China Ye Dinrong dan Tan Yongzhi dari Shenzhen Chain Element Network Technology serta trader P2P Wang Yicong.

Mereka diduga bekerja sama dengan entitas Korea Utara untuk menyediakan identitas palsu dan memfasilitasi pencucian aset. Perantara Rusia juga terlibat dalam pelikuidasian sekitar $60 juta dari peretasan Bybit.

Selain itu, Huione Pay, penyedia layanan keuangan di bawah Huione Group Kamboja, digunakan untuk pencucian.

“Seorang warga negara Korea Utara menjalin hubungan pribadi dengan rekan Huione Pay dan bekerja sama dengan mereka untuk mencairkan aset virtual pada akhir 2023,” kata MSMT.

MSMT menyampaikan kekhawatiran kepada pemerintah Kamboja pada Oktober dan Desember 2024. Kekhawatiran ini terkait aktivitas Huione Pay yang mendukung peretas siber Korea Utara yang ditetapkan oleh PBB. Akibatnya, Bank Nasional Kamboja menolak memperpanjang lisensi pembayaran Huione Pay; namun, perusahaan tersebut tetap beroperasi di negara itu.