
Peneliti keamanan siber telah mengidentifikasi hubungan infrastruktur antara aktor ancaman Korea Utara di balik skema penipuan pekerja TI dan penipuan crowdfunding pada tahun 2016.
Bukti baru menunjukkan bahwa kelompok threamoret yang berbasis di Pyongyang mungkin telah melakukan penipuan menghasilkan uang ilegal yang sudah ada sebelum penggunaan pekerja TI, kata SecureWorks Counter Threat Unit (CTU) dalam sebuah laporan yang dibagikan kepada The Hacker News.
Skema penipuan pekerja TI, yang terungkap pada akhir tahun 2023, melibatkan aktor Korea Utara yang menyusup ke perusahaan-perusahaan di Barat dan belahan dunia lain dengan diam-diam mencari pekerjaan dengan identitas palsu untuk menghasilkan pendapatan bagi negara yang terkena sanksi tersebut. Itu juga dilacak dengan nama Famous Chollima, Nickel Tapestry, UNC5267, dan Wagemole.
Personil TI tersebut, menurut Kementerian Luar Negeri Korea Selatan (MoFA), telah dinilai menjadi bagian dari Biro Umum ke-313, sebuah organisasi di bawah Departemen Industri Amunisi Partai Pekerja Korea.
Aspek penting lainnya dari operasi ini adalah bahwa para pekerja TI secara rutin dikirim ke Tiongkok dan Rusia untuk bekerja di perusahaan-perusahaan terdepan seperti Yanbian Silverstar dan Volasys Silver Star, yang keduanya sebelumnya dikenai sanksi oleh Kantor Pengawasan Aset Luar Negeri Departemen Keuangan AS. (OFAC) pada bulan September 2018.

Kedua entitas tersebut dituduh terlibat dan memfasilitasi ekspor pekerja dari Korea Utara dengan tujuan menghasilkan pendapatan bagi Kerajaan Pertapa atau Partai Pekerja Korea sambil mengaburkan kewarganegaraan pekerja yang sebenarnya dari klien.
Sanksi juga dijatuhkan terhadap CEO Yanbian Silverstar Korea Utara Jong Song Hwa atas perannya dalam mengendalikan “aliran pendapatan untuk beberapa tim pengembang di Tiongkok dan Rusia.”
Pada bulan Oktober 2023, pemerintah AS mengumumkan penyitaan 17 domain internet yang menyamar sebagai perusahaan layanan TI yang berbasis di AS untuk menipu bisnis di dalam dan luar negeri dengan mengizinkan pekerja TI Korea Utara menyembunyikan identitas dan lokasi asli mereka saat melamar secara online. pekerjaan lepas.
Di antara domain yang disita termasuk situs web bernama “silverstarchina[.]com.” Analisis Secureworks terhadap catatan historis WHOIS telah mengungkapkan bahwa alamat jalan pendaftar cocok dengan lokasi kantor Yanbian Silverstar yang dilaporkan di prefektur Yanbian dan bahwa email serta alamat jalan pendaftar yang sama digunakan untuk mendaftarkan nama domain lainnya.
Salah satu domain yang dimaksud adalah kratosmemory[.]com, yang sebelumnya digunakan sehubungan dengan kampanye crowdfunding IndieGoGo pada tahun 2016 yang kemudian ditemukan sebagai penipuan setelah pendukungnya tidak menerima produk atau pengembalian dana dari penjual. Kampanye ini memiliki 193 pendukung dan mengumpulkan dana sebesar $21.877.
“Orang-orang yang menyumbang untuk kampanye ini belum mendapatkan apa pun yang dijanjikan kepada mereka,” klaim salah satu komentar di halaman crowdfunding. “Mereka juga belum menerima pembaruan apa pun. Ini benar-benar penipuan.”
Perusahaan keamanan siber juga mencatat informasi pendaftar WHOIS untuk kratosmemory[.]com diperbarui sekitar pertengahan tahun 2016 untuk mencerminkan persona berbeda bernama Dan Moulding, yang cocok dengan profil pengguna IndieGoGo untuk penipuan Kratos.
“Kampanye tahun 2016 ini merupakan upaya yang tidak memerlukan banyak usaha dan menghasilkan uang yang kecil dibandingkan dengan skema pekerja TI Korea Utara yang lebih rumit dan aktif saat publikasi ini diterbitkan,” kata Secureworks. Namun, hal ini menunjukkan contoh awal aktor ancaman Korea Utara yang bereksperimen dengan berbagai skema menghasilkan uang.
Perkembangan ini terjadi ketika Jepang, Korea Selatan, dan AS mengeluarkan peringatan bersama kepada industri teknologi blockchain mengenai terus-menerus menargetkan berbagai entitas di sektor ini oleh aktor siber Republik Rakyat Demokratik Korea (DPRK) untuk melakukan pencurian mata uang kripto.

“Kelompok-kelompok ancaman yang terus-menerus dan berafiliasi dengan DPRK, termasuk Grup Lazarus, […] terus menunjukkan pola perilaku jahat di dunia maya dengan melakukan berbagai kampanye kejahatan dunia maya untuk mencuri mata uang kripto dan menargetkan bursa, penjaga aset digital, dan pengguna individu,” kata pemerintah.
Beberapa perusahaan yang ditargetkan pada tahun 2024 saja termasuk DMM Bitcoin, Upbit, Rain Management, WazirX, dan Radiant Capital, yang menyebabkan pencurian mata uang kripto senilai lebih dari $659 juta. Pengumuman tersebut menandai konfirmasi resmi pertama bahwa Korea Utara berada di balik peretasan WazirX, bursa mata uang kripto terbesar di India.
“Ini adalah momen kritis. Kami mendesak tindakan cepat dan dukungan internasional untuk memulihkan aset yang dicuri,” pendiri WazirX, Nischal Shetty, memposting di X. “Yakinlah, kami tidak akan meninggalkan kebutuhan bisnis yang terlewat dalam upaya kami mencapai keadilan.”
Bulan lalu, firma intelijen blockchain Chainalysis juga mengungkapkan bahwa pelaku ancaman yang berafiliasi dengan Korea Utara telah mencuri $1,34 miliar dalam 47 peretasan mata uang kripto pada tahun 2024, naik dari $660,50 juta dalam 20 insiden pada tahun 2023.