Hacker Korea Utara mencuri 2,83 miliar USD crypto dalam waktu kurang dari dua tahun: Laporan

Sebuah laporan baru dari Kelompok Pengawas Sanksi Multinasional (MSMT) menyebutkan bahwa kelompok hacker Korea Utara telah mencuri total 2,83 miliar USD aset crypto selama periode dari Januari 2024 hingga September 2025.

Angka ini menyumbang hampir sepertiga dari total pendapatan devisa Korea Utara pada tahun 2024, mencerminkan tingkat ketergantungan yang semakin besar dari Pyongyang terhadap aktivitas kejahatan siber untuk menghindari sanksi internasional.

Serangan Bybit adalah yang terbesar

MSMT — aliansi yang terdiri dari 11 negara yang dibentuk pada bulan Oktober 2024 — dibentuk untuk memantau cara Korea Utara menghindari sanksi melalui serangan siber. Laporan terbaru menunjukkan bahwa skala pencurian crypto meningkat pesat pada tahun 2025, dengan 1,64 miliar USD dicuri hanya dalam 9 bulan pertama tahun ini, meningkat 50% dibandingkan dengan 1,19 miliar USD tahun sebelumnya.

Sebagian besar uang ini berasal dari serangan di bursa Bybit pada bulan Februari 2025, yang diduga dilakukan oleh kelompok TraderTraitor ( juga dikenal sebagai Jade Sleet atau UNC4899). Hacker menargetkan SafeWallet, penyedia dompet multi-tanda tangan Bybit, dengan mengirim email phishing yang berisi malware untuk masuk ke sistem internal. Setelah itu, mereka menyamarkan transaksi pengiriman uang ke luar sebagai transaksi internal, mengambil alih kendali kontrak pintar dari dompet dingin dan menarik uang tanpa terdeteksi.

Menurut MSMT, kelompok hacker Korea Utara biasanya tidak menyerang langsung bursa, tetapi fokus pada penyedia layanan pihak ketiga. Kelompok seperti TraderTraitor, CryptoCore, dan Citrine Sleet menggunakan profil pengembang palsu, identitas yang dicuri, dan pengetahuan mendalam tentang rantai pasokan perangkat lunak untuk melakukan serangan.

Salah satu kasus yang menarik adalah proyek Web3 Munchables, yang dicuri sebesar 63 juta USD tetapi uang tersebut kemudian dikembalikan ketika kelompok hacker mengalami masalah dalam proses pencucian uang.

Proses pencucian uang yang canggih

Analisis MSMT menggambarkan rangkaian sembilan langkah pencucian uang yang biasanya digunakan oleh hacker Korea Utara untuk mengubah crypto yang dicuri menjadi uang tunai. Proses ini dimulai dengan menukar aset yang dicuri menjadi Ethereum (ETH) di bursa terdesentralisasi, kemudian menggunakan layanan mixer seperti Tornado Cash dan Wasabi Wallet untuk menghapus jejak transaksi.

ETH kemudian dikonversi menjadi Bitcoin (BTC) melalui jembatan, dicampur lagi, disimpan di dompet dingin, lalu dikonversi menjadi Tron (TRX) sebelum ditukar menjadi USDT. Akhirnya, USDT dikirim ke broker OTC, yang akan menukarnya menjadi uang tunai.

Laporan mengidentifikasi individu dan perusahaan di Tiongkok, Rusia, dan Kamboja yang berperan kunci dalam proses ini.

• Di Tiongkok, warga negara Ye Dinrong dan Tan Yongzhi dari Shenzhen Chain Element Network Technology, bersama trader Wang Yicong, telah membantu memindahkan uang dan membuat identitas palsu.
• Di Rusia, para perantara telah mencuci sekitar 60 juta USD dari kasus Bybit melalui jaringan OTC.
• Di Kamboja, platform Huione Pay ( yang dipimpin oleh sepupu Perdana Menteri Hun Manet ) ditemukan terlibat dalam pengiriman uang meskipun izin telah kedaluwarsa karena bank sentral tidak memperpanjang.

MSMT juga menyatakan bahwa para hacker Korea Utara telah bekerja sama dengan kejahatan siber berbahasa Rusia sejak tahun 2010, dan pada tahun 2025, kelompok Moonstone Sleet telah menyewa alat ransomware dari geng Rusia Qilin.

Menghadapi ancaman yang meningkat ini, 11 negara anggota SMT telah mengeluarkan pernyataan bersama yang menyerukan negara-negara anggota Perserikatan Bangsa-Bangsa untuk meningkatkan kesadaran tentang aktivitas kejahatan siber Korea Utara, sambil mendesak Dewan Keamanan Perserikatan Bangsa-Bangsa untuk memulihkan Komite Ahli Pengawas Sanksi dengan skala dan kekuasaan seperti sebelum dibubarkan.

Thạch Sanh