Pekerja IT Korea Utara menggunakan lebih dari 30 ID palsu untuk menargetkan perusahaan kripto: laporan

Perangkat yang disusupi dari pekerja IT Korea Utara telah mengungkap cara kerja internal tim di balik peretasan Favrr senilai $680.000 dan penggunaan alat Google mereka untuk menargetkan proyek kripto.

Menurut penelusur on-chain ZachXBT, jejak dimulai dengan sumber yang tidak disebutkan namanya yang mendapatkan akses ke salah satu komputer pekerja, mengungkap tangkapan layar, ekspor Google Drive, dan profil Chrome yang membuka tabir tentang bagaimana para operatif merencanakan dan melaksanakan skema mereka.

Berdasarkan aktivitas dompet dan pencocokan sidik jari digital, ZachXBT memverifikasi materi sumber dan mengaitkan transaksi cryptocurrency kelompok tersebut dengan eksploitasi pasar fan-token Favrr pada Juni 2025. Satu alamat dompet, "0x78e1a," menunjukkan tautan langsung ke dana yang dicuri dari insiden tersebut.

Di dalam operasi

Perangkat yang disusupi menunjukkan bahwa tim kecil — total enam anggota — berbagi setidaknya 31 identitas palsu. Untuk mendapatkan pekerjaan pengembangan blockchain, mereka mengumpulkan ID yang dikeluarkan pemerintah dan nomor telepon, bahkan membeli akun LinkedIn dan Upwork untuk melengkapi penyamaran mereka.

Skrip wawancara yang ditemukan pada perangkat menunjukkan mereka membanggakan pengalaman di perusahaan blockchain terkenal, termasuk Polygon Labs, OpenSea, dan Chainlink.

Alat Google menjadi pusat alur kerja terorganisir mereka. Para pelaku ancaman ditemukan menggunakan spreadsheet drive untuk melacak anggaran dan jadwal, sementara Google Translate menjembatani kesenjangan bahasa antara Korea dan Inggris. 

Di antara informasi yang diambil dari perangkat tersebut adalah spreadsheet yang menunjukkan pekerja IT menyewa komputer dan membayar akses VPN untuk membeli akun baru untuk operasi mereka.

Tim ini juga mengandalkan alat akses jarak jauh seperti AnyDesk, memungkinkan mereka mengendalikan sistem klien tanpa mengungkapkan lokasi asli mereka. Log VPN mengaitkan aktivitas mereka ke beberapa wilayah, menyamarkan alamat IP Korea Utara.

Temuan tambahan mengungkapkan kelompok tersebut mencari cara untuk menerapkan token di berbagai blockchain, menjelajahi perusahaan AI di Eropa, dan memetakan target baru di ruang kripto.

Pelaku ancaman Korea Utara menggunakan pekerjaan jarak jauh

ZachXBT menemukan pola yang sama yang ditandai dalam beberapa laporan keamanan siber — pekerja IT Korea Utara mendapatkan pekerjaan jarak jauh yang sah untuk menyelinap ke sektor kripto. Dengan berpura-pura sebagai pengembang freelance, mereka mendapatkan akses ke repositori kode, sistem backend, dan infrastruktur dompet.

Salah satu dokumen yang ditemukan pada perangkat tersebut adalah catatan wawancara dan materi persiapan yang kemungkinan dimaksudkan untuk disimpan di layar atau di dekatnya selama panggilan dengan calon pemberi kerja.