Agen Korea Utara tertangkap kamera, secara langsung, setelah peneliti keamanan memikat mereka ke dalam "laptop pengembang" yang dijebak, merekam bagaimana kru yang terkait dengan Lazarus mencoba membaur ke dalam jalur pekerjaan kripto AS menggunakan alat perekrutan AI yang sah dan layanan cloud.
Evolusi dalam kejahatan siber yang disponsori negara dilaporkan ditangkap secara real time oleh peneliti di BCA LTD, NorthScan, dan platform analisis malware ANY.RUN.
Menangkap penyerang Korea Utara
Hacker News membagikan bagaimana, dalam operasi penyergapan terkoordinasi, tim tersebut menerapkan "honeypot," yaitu lingkungan pengawasan yang disamarkan sebagai laptop pengembang yang sah, untuk memancing Kelompok Lazarus.
Rekaman yang dihasilkan memberikan pandangan paling jelas bagi industri tentang bagaimana unit-unit Korea Utara, khususnya divisi Famous Chollima, melewati firewall tradisional dengan hanya dipekerjakan oleh departemen sumber daya manusia target.
Operasi dimulai ketika para peneliti menciptakan persona pengembang dan menerima permintaan wawancara dari alias perekrut yang dikenal sebagai "Aaron." Alih-alih menerapkan muatan malware standar, perekrut mengarahkan target ke pengaturan pekerjaan jarak jauh yang umum di sektor Web3.
Ketika para peneliti memberikan akses ke "laptop," yang sebenarnya adalah mesin virtual yang dipantau ketat yang dirancang untuk meniru workstation berbasis AS, para agen tidak mencoba mengeksploitasi kerentanan kode.
Sebaliknya, mereka fokus pada membangun kehadiran mereka sebagai karyawan teladan.
Membangun kepercayaan
Setelah berada di dalam lingkungan yang terkontrol, para agen mendemonstrasikan alur kerja yang dioptimalkan untuk membaur daripada menerobos masuk.
Mereka menggunakan perangkat lunak otomatisasi pekerjaan yang sah, termasuk Simplify Copilot dan AiApply, untuk menghasilkan respons wawancara yang terpolish dan mengisi formulir aplikasi dalam skala besar.
Penggunaan alat produktivitas Barat ini menyoroti eskalasi yang mengkhawatirkan, menunjukkan bahwa aktor negara memanfaatkan teknologi AI yang dirancang untuk merampingkan perekrutan perusahaan untuk mengalahkan mereka.
Investigasi mengungkapkan bahwa penyerang mengarahkan lalu lintas mereka melalui Astrill VPN untuk menyembunyikan lokasi mereka dan menggunakan layanan berbasis browser untuk menangani kode autentikasi dua faktor yang terkait dengan identitas yang dicuri.
Tujuan akhirnya bukanlah kehancuran segera tetapi akses jangka panjang. Para agen mengkonfigurasi Google Remote Desktop melalui PowerShell dengan PIN tetap, memastikan mereka dapat mempertahankan kontrol mesin bahkan jika host mencoba mencabut hak istimewa.
Jadi, perintah mereka bersifat administratif, menjalankan diagnostik sistem untuk memvalidasi perangkat keras.
Pada dasarnya, mereka tidak mencoba meretas dompet dengan segera.
Sebaliknya, orang-orang Korea Utara berusaha membangun diri mereka sebagai orang dalam yang dipercaya, memposisikan diri untuk mengakses repositori internal dan dasbor cloud.
Aliran pendapatan miliaran dolar
Insiden ini adalah bagian dari kompleks industri yang lebih besar yang telah mengubah penipuan pekerjaan menjadi pendorong pendapatan utama bagi rezim yang terkena sanksi.
Tim Pemantau Sanksi Multilateral baru-baru ini memperkirakan bahwa kelompok-kelompok yang terkait dengan Pyongyang mencuri sekitar $2,83 miliar dalam aset digital antara 2024 dan September 2025.
Angka ini, yang mewakili sekitar sepertiga dari pendapatan mata uang asing Korea Utara, menunjukkan bahwa pencurian siber telah menjadi strategi ekonomi kedaulatan.
Keefektifan vektor serangan "lapisan manusia" ini terbukti secara menghancurkan pada Februari 2025 selama pelanggaran pertukaran Bybit.
Dalam insiden tersebut, penyerang yang dikaitkan dengan kelompok TraderTraitor menggunakan kredensial internal yang disusupi untuk menyamarkan transfer eksternal sebagai pergerakan aset internal, yang akhirnya mendapatkan kontrol atas kontrak pintar dompet dingin.
Krisis kepatuhan
Pergeseran ke arah rekayasa sosial menciptakan krisis kewajiban yang parah bagi industri aset digital.
Awal tahun ini, perusahaan keamanan seperti Huntress dan Silent Push mendokumentasikan jaringan perusahaan boneka, termasuk BlockNovas dan SoftGlide, yang memiliki pendaftaran perusahaan AS yang valid dan profil LinkedIn yang kredibel.
Entitas-entitas ini berhasil mendorong pengembang untuk menginstal skrip berbahaya di bawah kedok penilaian teknis.
Bagi petugas kepatuhan dan Chief Information Security Officers, tantangannya telah bermutasi. Protokol Know Your Customer (KYC) tradisional berfokus pada klien, tetapi alur kerja Lazarus memerlukan standar "Know Your Employee" yang ketat.
Departemen Kehakiman telah mulai menindak tegas, menyita $7,74 juta yang terkait dengan skema IT ini, tetapi lag deteksi tetap tinggi.
Seperti yang ditunjukkan oleh operasi penyergapan BCA LTD, satu-satunya cara untuk menangkap aktor-aktor ini mungkin adalah beralih dari pertahanan pasif ke penipuan aktif, menciptakan lingkungan terkontrol yang memaksa aktor ancaman untuk mengungkapkan keahlian mereka sebelum mereka diberikan kunci ke perbendaharaan.
Sumber: https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
