Departemen Kehakiman AS (DoJ) telah mendakwa 14 warga negara Republik Demokratik Rakyat Korea (DPRK atau Korea Utara) atas dugaan keterlibatan mereka dalam konspirasi jangka panjang untuk melanggar sanksi dan melakukan penipuan kawat, pencucian uang, dan pencurian identitas. dengan mencari pekerjaan secara ilegal di perusahaan-perusahaan AS dan organisasi nirlaba.
Para konspirator, yang bekerja untuk perusahaan Yanbian Silverstar dan Volasys Silverstar yang dikendalikan oleh DPRK, masing-masing berlokasi di Republik Rakyat Tiongkok (RRC) dan Federasi Rusia (Rusia), bersekongkol untuk menggunakan identitas palsu, curian, dan pinjaman dari AS dan AS. orang lain untuk menyembunyikan identitas mereka di Korea Utara dan lokasi di luar negeri serta mendapatkan pekerjaan sebagai pekerja teknologi informasi (TI) jarak jauh,” kata Departemen Kehakiman.
Skema pekerja TI ini diduga menghasilkan setidaknya $88 juta untuk rezim Korea Utara selama rentang waktu enam tahun. Selain itu, para pekerja jarak jauh terlibat dalam pencurian informasi, seperti kode sumber kepemilikan, dan mengancam akan membocorkan data kecuali uang tebusan dibayarkan. Hasil ilegal yang diperoleh dengan cara ini kemudian disalurkan melalui sistem keuangan AS dan Tiongkok kembali ke Pyongyang.
Departemen Kehakiman mengatakan pihaknya mengetahui adanya satu perusahaan yang menderita kerugian ratusan ribu dolar setelah menolak memenuhi permintaan pemerasan dari seorang pekerja TI Korea Utara, yang akhirnya membocorkan informasi rahasia tersebut secara online.
Individu yang diidentifikasi ada di bawah –
- Jong Song Hwa (정성화)
- Ri Kyong Sik (리경식)
- Lagu Kim Ryu (김류성)
- Rim Un Chol (림은철)
- Kim Mu Rim (김무림)
- Cho Chung Pom (조충범)
- Lagu Hyon Chol (현철성)
- Son Un Chol (손은철)
- Sok Kwang Hyok (석광혁)
- Choe Jong Yong (최정용)
- Ko Chung Sok (고충석)
- Kim Ye Won (김예원)
- Jong Kyong Chol (정경철), dan
- Jang Chol Myong (장철명)
Ke-14 konspirator tersebut disebut-sebut bekerja dalam berbagai kapasitas mulai dari pimpinan senior perusahaan hingga pekerja IT. Kedua perusahaan yang terkena sanksi telah mempekerjakan setidaknya 130 pekerja TI Korea Utara, yang disebut sebagai Pejuang TI, yang berpartisipasi dalam “kompetisi sosialisme” yang diselenggarakan oleh perusahaan-perusahaan tersebut untuk menghasilkan uang bagi DPRK. Mereka yang berkinerja terbaik diberikan bonus dan hadiah lainnya.
Perkembangan ini adalah yang terbaru dari serangkaian tindakan yang diambil pemerintah AS dalam beberapa tahun terakhir untuk mengatasi skema penipuan pekerja TI, sebuah kampanye yang dilacak oleh komunitas keamanan siber dengan nama Wgemole.
DoJ menyatakan bahwa mereka telah menyita 29 domain situs web palsu (17 pada bulan Oktober 2023 dan 12 pada bulan Mei 2024) yang digunakan oleh pekerja TI DPRK untuk meniru perusahaan layanan TI Barat guna mendukung upaya bonafide mereka untuk mendapatkan kontrak kerja jarak jauh untuk AS dan negara lain. bisnis di seluruh dunia. Badan tersebut mengatakan bahwa mereka juga secara kumulatif telah menyita $2,26 juta (termasuk $1,5 juta yang disita pada Oktober 2023) dari rekening bank yang terkait dengan skema tersebut.
Secara terpisah, Departemen Luar Negeri telah mengumumkan tawaran hadiah hingga $5 juta untuk informasi mengenai perusahaan terdepan, individu yang diidentifikasi, dan aktivitas terlarang mereka.
“Skema pekerja TI DPRK melibatkan penggunaan email dengan nama samaran, media sosial, platform pembayaran dan akun situs kerja online, serta situs web palsu, komputer proxy, jaringan pribadi virtual, server pribadi virtual, dan tanpa disadari pihak ketiga yang berlokasi di Amerika Serikat dan di tempat lain,” kata Departemen Kehakiman. “Para konspirator menggunakan banyak teknik untuk menyembunyikan identitas Korea Utara mereka dari majikan mereka.”
Salah satu metode tersebut adalah penggunaan peternakan laptop di AS dengan membayar orang yang tinggal di negara tersebut untuk menerima dan memasang laptop yang dikeluarkan perusahaan dan memungkinkan pekerja TI untuk terhubung dari jarak jauh melalui perangkat lunak yang diinstal pada laptop tersebut. Idenya adalah untuk memberikan kesan bahwa mereka mengakses pekerjaan dari Amerika, padahal kenyataannya mereka berada di Tiongkok atau Rusia.
Ke-14 konspirator tersebut telah didakwa melakukan konspirasi untuk melanggar Undang-Undang Kekuatan Ekonomi Darurat Internasional, konspirasi untuk melakukan penipuan kawat, konspirasi untuk melakukan pencucian uang, dan konspirasi untuk melakukan pencurian identitas. Delapan dari mereka telah didakwa dengan pencurian identitas yang parah. Jika terbukti bersalah, masing-masing terancam hukuman maksimal 27 tahun penjara.
Pencurian Kripto Modal Radiant Terkait dengan Citrine Sleet
Penipuan pekerja TI hanyalah salah satu dari banyak metode yang diterapkan Korea Utara untuk menghasilkan pendapatan ilegal dan mendukung tujuan strategisnya, metode lainnya adalah pencurian mata uang kripto dan menargetkan perusahaan perbankan dan blockchain.
Awal bulan ini, platform keuangan terdesentralisasi (DeFi) Radiant Capital mengaitkan aktor ancaman terkait Korea Utara yang dijuluki Citrine Sleet dengan pencurian mata uang kripto senilai $50 juta yang terjadi setelah pelanggaran sistemnya pada Oktober 2024.
Musuh, juga disebut Gleaming Pisces, Labyrinth Chollima, Nickel Academy, dan UNC4736, adalah sub-cluster dalam Lazarus Group. Mereka juga dikenal karena mengatur kampanye rekayasa sosial yang disebut Operation Dream Job yang bertujuan untuk memikat pengembang dengan peluang kerja yang menguntungkan untuk menipu mereka agar mengunduh malware.
Perlu dicatat bahwa upaya ini juga memiliki bentuk yang berbeda tergantung pada kelompok aktivitas di belakangnya, yang dapat bervariasi dari tes coding (Contagious Interview) hingga berkolaborasi dalam proyek GitHub (Jade Sleet).
Serangan yang menargetkan Radiant Capital juga terjadi ketika pengembang perusahaan tersebut didekati oleh pelaku ancaman pada bulan September di Telegram dengan menyamar sebagai mantan kontraktor tepercaya, dengan berpura-pura meminta masukan tentang pekerjaan mereka sebagai bagian dari peluang karier baru yang terkait dengan kontrak pintar. audit.
Pesan tersebut menyertakan tautan ke arsip ZIP yang berisi file PDF yang, pada gilirannya, mengirimkan pintu belakang macOS dengan nama kode INLETDRIFT yang, selain menampilkan dokumen umpan kepada korban, juga menjalin komunikasi tersembunyi dengan server jarak jauh (“atokyonews[.]com”).
“Para penyerang mampu menyusupi beberapa perangkat pengembang,” kata Radiant Capital. “Antarmuka front-end menampilkan data transaksi yang tidak berbahaya sementara transaksi yang berbahaya ditandatangani di latar belakang. Pemeriksaan dan simulasi tradisional tidak menunjukkan perbedaan yang jelas, sehingga ancaman hampir tidak terlihat selama tahap peninjauan normal.”
