Tahun "Gemuk" peretas Korea Utara: Pencurian dana mencapai rekor tertinggi pada tahun 2025

2025年 bagi kelompok peretas Korea Utara, tanpa diragukan lagi, adalah tahun panen. Berdasarkan laporan serangan peretas tahun 2025 yang dirilis oleh Chainalysis, meskipun jumlah serangan yang dilancarkan oleh peretas Korea Utara menurun secara signifikan, jumlah dana yang dicuri mencapai rekor tertinggi dalam sejarah, fenomena yang tampaknya kontradiktif ini mencerminkan semakin canggihnya metode kejahatan siber dari kelompok kriminal berskala nasional ini.

Di balik tahun panen: serangan berkurang tetapi pencurian dana meningkat

Ekosistem kripto secara keseluruhan menghadapi ujian berat di tahun 2025. Menurut statistik, total dana yang dicuri sepanjang tahun melebihi 3,4 miliar dolar AS, termasuk serangan besar terhadap Bybit pada bulan Februari yang menyebabkan kerugian sebesar 1,5 miliar dolar AS.

Peretas Korea Utara tampil sangat menonjol dalam tahun “tahun keberuntungan” ini. Pada 2025, mereka mencuri aset kripto senilai hingga 2,02 miliar dolar AS, meningkat 51% dibandingkan 1,339 miliar dolar AS di 2024. Lebih mengkhawatirkan lagi, ini mencatat tahun paling parah dalam sejarah pencurian kripto Korea Utara, dengan total pencurian kumulatif mencapai 6,75 miliar dolar AS.

Data yang lebih mencengangkan adalah bahwa serangan yang dilancarkan oleh Korea Utara menyumbang 76% dari semua insiden intrusi, mencatat rekor tertinggi. Meskipun jumlah insiden serangan yang dikonfirmasi menurun 74%, jumlah dana yang dicuri justru meningkat secara besar-besaran. Ini menunjukkan bahwa peretas Korea Utara melakukan serangan yang lebih efisien—mengurangi frekuensi serangan, tetapi memusatkan kekuatan pada target yang lebih bernilai.

Jaringan pencucian uang yang unik: karakteristik operasi peretas Korea Utara

Keberhasilan peretas Korea Utara dalam mencapai “tahun keberuntungan” ini tidak lepas dari pola pencucian uang dan jaringan operasional yang unik. Aktivitas pencucian uang mereka berbeda sama sekali dari kejahatan siber lainnya.

Karakteristik “pembagian” aktivitas pencucian uang

Aktivitas pencucian uang peretas Korea Utara menunjukkan pola “pembagian” yang jelas, dengan lebih dari 60% volume transaksi terkonsentrasi di bawah 500.000 dolar AS. Ini sangat berbeda dari logika operasi peretas lain—lebih dari 60% dana yang dipindahkan di jaringan mereka dilakukan secara bertahap dalam rentang 1 juta hingga 10 juta dolar AS.

Preferensi yang jelas terhadap layanan tertentu

Dibandingkan dengan peretas lain, peretas Korea Utara menunjukkan pola preferensi yang mencolok dalam proses pencucian uang:

• Transfer dana berbahasa Mandarin dan layanan jaminan (+355% hingga lebih dari 1000%): Ini adalah ciri paling mencolok, di mana mereka sangat bergantung pada layanan jaminan berbahasa Mandarin dan jaringan pencucian uang yang terdiri dari banyak pelaku yang kemampuannya dalam mematuhi regulasi relatif lemah. Preferensi ini jauh lebih tinggi dibandingkan pelaku kejahatan lainnya.

• Layanan jembatan lintas rantai (+97%): Sangat bergantung pada layanan jembatan lintas rantai untuk memindahkan aset antar blockchain guna meningkatkan kesulitan pelacakan.

• Layanan mixing (+100%): Lebih banyak menggunakan layanan mixing untuk menyembunyikan jejak aliran dana.

• Layanan profesional (+356%): Strategis menggunakan layanan tertentu seperti Huione untuk mendukung aktivitas pencucian uang.

Sebaliknya, peretas Korea Utara secara mencolok menghindari jalur pencucian uang yang umum digunakan oleh peretas lain: perjanjian pinjaman (−80%), bursa tanpa KYC (−75%), bursa P2P (−64%), CEX (−25%), dan DEX (−42%).

Perputaran dana selama 45 hari: mengungkap siklus pencucian uang berlapis

Awal tahun 2025, masuknya dana yang dicuri dalam jumlah besar memberi informasi berharga bagi penegak hukum. Melalui analisis aktivitas di blockchain, para peneliti menemukan bahwa peretas Korea Utara mengikuti jalur pencucian uang yang terstruktur dan berlapis, yang biasanya berlangsung sekitar 45 hari.

Tahap pertama: Segera lapis-lapis (hari 0-5)

Beberapa hari pertama setelah serangan, kami mengamati serangkaian aktivitas yang tidak biasa:

• Aliran dana yang dicuri dari protokol DeFi meningkat paling besar (+370%), menjadi titik masuk utama
• Volume transaksi layanan mixing meningkat pesat (+135-150%), membentuk lapisan pertama dari pengacauan
• Tahap ini mewakili langkah darurat “langkah pertama”, bertujuan memisahkan diri dari aksi pencurian awal

Tahap kedua: Integrasi awal (hari 6-10)

Memasuki minggu kedua, strategi pencucian uang mulai beralih ke layanan yang membantu dana masuk ke ekosistem yang lebih luas:

• Bursa dengan pembatasan KYC yang lebih sedikit (+37%) dan CEX (+32%) mulai menerima aliran dana
• Aktivitas mixing lapisan kedua (+76%) terus berlangsung dengan intensitas lebih rendah
• Jembatan lintas rantai (seperti XMRt, +141%) membantu mendistribusikan dan menyembunyikan aliran dana antar blockchain
• Ini adalah masa transisi penting, di mana dana mulai mengalir ke jalur keluar potensial

Tahap ketiga: Integrasi jangka panjang (hari 20-45)

Tahap terakhir menunjukkan kecenderungan menuju layanan yang memungkinkan penukaran akhir ke fiat atau aset lain:

• Bursa tanpa KYC (+82%) dan layanan jaminan (misalnya jaminan kentang, +87%) mengalami peningkatan penggunaan yang signifikan
• Bursa instan (+61%) dan platform berbahasa Mandarin (seperti HuiWang, +45%) menjadi titik akhir penukaran
• CEX (+50%) juga menerima dana, menunjukkan upaya kompleks untuk mencampur dana dengan dana legal
• Wilayah yurisdiksi yang kurang pengawasan, seperti jaringan pencucian uang berbahasa Mandarin (+33%) dan platform seperti Grinex (+39%), melengkapi pola ini

Biasanya, siklus pencucian uang ini berlangsung sekitar 45 hari, memberikan informasi penting bagi penegak hukum dan tim kepatuhan. Pola ini tetap konsisten selama bertahun-tahun, menunjukkan bahwa peretas Korea Utara menghadapi batasan operasional, yang mungkin terkait dengan terbatasnya akses mereka ke infrastruktur keuangan dan kebutuhan berkoordinasi dengan perantara tertentu.

Ancaman terhadap pengguna individu yang terus meningkat

Dalam tahun “tahun keberuntungan” 2025, tren lain yang mengkhawatirkan adalah meningkatnya serangan terhadap dompet pribadi.

Perluasan skala insiden pencurian

Jumlah insiden pencurian dompet pribadi di 2025 melonjak menjadi 158.000, hampir tiga kali lipat dari catatan 54.000 di 2022. Jumlah korban meningkat dari 40.000 di 2022 menjadi setidaknya 80.000 di 2025. Pertumbuhan yang signifikan ini kemungkinan besar disebabkan oleh adopsi yang lebih luas dari kripto. Misalnya, salah satu blockchain dengan jumlah dompet pribadi aktif terbanyak, Solana, mencatat jumlah insiden pencurian yang jauh di atas lainnya, dengan sekitar 26.500 korban.

Jumlah uang yang dicuri per korban justru menurun

Meskipun jumlah insiden dan korban meningkat, total uang yang dicuri dari satu korban di 2025 menurun dari puncaknya 1,5 miliar dolar AS di 2024 menjadi 713 juta dolar AS. Ini menunjukkan bahwa target pengguna semakin banyak, tetapi jumlah uang yang dicuri per korban berkurang—sebuah perubahan yang patut dicatat.

Risiko tidak tersebar merata

Rasio pencurian tertinggi terjadi di Ethereum dan TRON (diukur per 100.000 dompet), meskipun pengguna di Base dan Solana sangat besar, tingkat kerentanannya lebih rendah. Ini menunjukkan bahwa risiko keamanan dompet pribadi dalam ekosistem kripto tidak tersebar merata, dan faktor lain seperti karakteristik pengguna, aplikasi populer, serta infrastruktur kejahatan juga berperan penting dalam menentukan tingkat pencurian.

Keamanan DeFi yang tak terduga membaik

Meskipun peretas Korea Utara mengalami “tahun keberuntungan” di 2025, ada sinyal positif dalam ekosistem kripto—kondisi keamanan di bidang DeFi menunjukkan perbaikan.

TVL DeFi meningkat sementara kerugian akibat serangan tetap stabil

Data menunjukkan tiga fase yang berbeda:

• Fase pertama (2020-2021): TVL DeFi dan kerugian akibat serangan peretas meningkat bersamaan
• Fase kedua (2022-2023): keduanya menurun secara bersamaan
• Fase ketiga (2024-2025): TVL kembali naik, sementara kerugian tetap stabil

Perbedaan ini sangat mencolok. TVL DeFi telah pulih dari titik terendah di 2023 secara signifikan, tetapi kerugian akibat serangan peretas tidak meningkat seiring waktu. Meski miliaran dolar mengalir kembali ke protokol ini, insiden serangan DeFi tetap rendah, menandai perubahan penting.

Dua faktor dapat menjelaskan perbedaan ini. Pertama, peningkatan keamanan—protokol DeFi mungkin telah menerapkan langkah-langkah keamanan yang lebih efektif dibandingkan periode 2020-2021. Kedua, pergeseran target—peningkatan serangan terhadap dompet pribadi dan layanan terpusat menunjukkan bahwa pelaku kejahatan mengalihkan perhatian ke target lain.

Keberhasilan perlindungan protokol Venus

Insiden di protokol Venus pada paruh kedua 2025 menunjukkan bahwa langkah-langkah keamanan yang diperbaiki mulai menunjukkan hasil nyata.

Saat itu, pelaku kejahatan memanfaatkan akses dari pengguna Zoom yang diretas untuk mendapatkan akses sistem dan memancing seorang pengguna agar memberikan izin delegasi ke akun senilai 13 juta dolar AS. Hal ini bisa berakibat bencana, tetapi Venus baru saja mengaktifkan platform pemantauan keamanan Hexagate sebulan sebelumnya.

Platform ini mendeteksi aktivitas mencurigakan 18 jam sebelum serangan terjadi, dan langsung mengirimkan peringatan begitu transaksi berbahaya terjadi. Dalam waktu 20 menit, Venus menangguhkan protokolnya, mencegah aliran dana lebih lanjut. Respon selanjutnya sangat cepat dan efektif:

• Setelah pemeriksaan keamanan selama 5 jam, sebagian fungsi dipulihkan
• Dalam 7 jam, dilakukan likuidasi paksa terhadap dompet penyerang
• Dalam 12 jam, seluruh dana yang dicuri berhasil dipulihkan dan layanan dipulihkan

Yang paling mengesankan, Venus meloloskan proposal tata kelola yang membekukan aset senilai 3 juta dolar AS yang masih dikendalikan penyerang. Penyerang tidak hanya gagal mendapatkan keuntungan, tetapi malah kehilangan dana.

Evolusi metode peretas Korea Utara dan ancaman masa depan

Keberhasilan peretas Korea Utara di 2025 tidak hanya karena peningkatan jumlah dana yang dicuri, tetapi juga karena metode serangan mereka yang terus berkembang.

Dari infiltrasi internal hingga rekayasa sosial yang kompleks

Peretas Korea Utara semakin sering menyusup ke dalam layanan kripto dengan menempatkan staf TI di dalam untuk mendapatkan akses istimewa. Tetapi baru-baru ini, kelompok peretas yang terkait dengan Korea Utara sepenuhnya membalik pola ini. Mereka tidak lagi sekadar melamar pekerjaan dan menyusup sebagai karyawan, melainkan semakin sering menyamar sebagai perekrut dari perusahaan Web3 dan AI ternama, merancang proses rekrutmen palsu secara cermat, dan akhirnya menggunakan “penyaringan teknis” sebagai kedok untuk mendapatkan kredensial login korban, kode sumber, serta akses VPN atau SSO dari majikan mereka saat ini.

Di tingkat manajemen senior, metode rekayasa sosial serupa muncul dalam bentuk kontak dengan investor strategis palsu atau pihak akuisisi. Mereka memanfaatkan pertemuan promosi dan due diligence palsu untuk menyelidiki informasi sistem sensitif dan infrastruktur bernilai tinggi yang potensial, evolusi ini langsung berakar dari penipuan terhadap pekerja TI di masa lalu.

Serangan yang tepat sasaran terhadap target bernilai tinggi

Dari 2022 hingga 2025, serangan Korea Utara menargetkan zona nilai tertinggi, bukan distribusi serangan yang acak. Pola ini semakin menunjukkan bahwa saat mereka melancarkan serangan, mereka menargetkan layanan besar untuk dampak maksimal.

Penyesuaian strategi ritme serangan

Tiga serangan terbesar yang dilakukan pada 2025 menyumbang 69% dari total kerugian, dan rasio antara serangan terbesar dan median insiden pertama kali melampaui 1000 kali. Pengaruh insiden di Bybit terhadap pola aktivitas tahunan mereka menunjukkan bahwa ketika Korea Utara berhasil melakukan pencurian besar, mereka mengurangi ritme operasinya dan berfokus pada pencucian uang.

Tantangan baru di tahun 2026

Kinerja “tahun keberuntungan” Korea Utara di 2025 secara mendalam mengungkapkan kompleksitas kondisi keamanan di dunia kripto saat ini. Meskipun kemampuan pertahanan DeFi membaik, meskipun insiden seperti Venus menunjukkan keberhasilan respons keamanan, kenyataan bahwa mereka mencatat rekor tertinggi dalam pencurian dana menunjukkan bahwa seluruh ekosistem kripto masih menghadapi ancaman serius.

Bagi industri kripto, evolusi ini menuntut peningkatan kewaspadaan terhadap target bernilai tinggi dan kemampuan mengenali pola pencucian uang tertentu dari Korea Utara. Preferensi mereka terhadap layanan jaminan berbahasa Mandarin, jembatan lintas rantai, dan jumlah transfer tertentu memberikan peluang deteksi, membedakan mereka dari pelaku kejahatan lain, dan membantu penegak hukum mengidentifikasi karakteristik perilaku mereka di jaringan.

Seiring Korea Utara terus memanfaatkan pencurian kripto untuk mendanai prioritas nasional dan menghindari sanksi internasional, industri kripto harus menyadari bahwa pola operasi mereka berbeda sama sekali dari kejahatan siber konvensional. Catatan pencapaian Korea Utara di 2025—dengan penurunan 74% dalam serangan yang diketahui dan peningkatan besar dalam pencurian dana—menunjukkan bahwa saat ini kita mungkin hanya melihat bagian paling mencolok dari aktivitas mereka.

Tantangan utama di 2026 adalah bagaimana mendeteksi dan mencegah serangan besar seperti yang dilakukan di Bybit sebelum mereka terjadi lagi. Ini menuntut industri untuk meningkatkan perlindungan keamanan sekaligus terus memantau dan menganalisis pola operasi unik dari peretas Korea Utara, guna mendukung strategi pertahanan di masa depan.