Jurnalis Majalah Forbes: Meski tahu bahwa peretas Korea Utara sangat merajalela, saya tetap menjadi korban

Ditulis oleh: Ben Weiss, Majalah Fortune

Diterjemahkan oleh: Luffy, Foresight News

Pada akhir Maret, saya menerima kabar yang menggelisahkan dari administrator IT Majalah Fortune. “Ada sebuah proses yang sedang mengekspos celah sistem,” tulisnya, “seseorang mungkin sudah menyusup ke komputer saya.” Seketika saya panik.

Berdasarkan log yang dicek oleh departemen IT setelah kejadian, diketahui bahwa saya mengunduh sebuah file pada pukul 11:04 pada hari itu, yang memiliki kemampuan untuk keylogging, rekaman layar, mencuri kata sandi, serta mengakses berbagai aplikasi saya.

Saya langsung menutup laptop, berlari keluar dari apartemen di Brooklyn, dan menuju stasiun kereta bawah tanah terdekat. Dalam perjalanan menuju kantor, saya mengirim pesan kepada editor: “Sepertinya saya dipancing oleh peretas Korea Utara, lucu sekali.”

Saya selama ini meliput berita-berita tentang Korea Utara, dan saya tahu negara itu memang menargetkan investor AS. Namun saya sama sekali tidak menyangka bahwa kelompok peretas terkenal itu akan mengincar saya, bahkan membuat saya secara langsung mengalami betapa canggihnya cara mereka menipu.

Terasa seperti penipuan

“Kawasan Raja Pengasingan” ini selama bertahun-tahun terus mengganggu industri kripto. Karena adanya sanksi, Korea Utara terisolasi dari sistem keuangan global. Korea Utara perlu mengandalkan pencurian mata uang kripto yang didukung negara untuk tetap beroperasi.

Data dari perusahaan analitik data kripto Chainalysis menunjukkan bahwa hanya dalam tahun 2025 saja, peretas yang terkait dengan Korea Utara telah mencuri mata uang kripto senilai 2 miliar dolar, meningkat sekitar 50% dibanding tahun sebelumnya.

Korea Utara sudah membentuk serangkaian pola penipuan yang terbukti manjur, termasuk membujuk perusahaan untuk mempekerjakan mereka sebagai staf IT, serta kali ini menggunakan metode yang sama untuk menipu saya.

Peretas Korea Utara sudah memasang jebakan pada pertengahan Maret. Umpannya adalah pesan Telegram dari seorang investor hedge fund. Aplikasi tersebut adalah salah satu alat komunikasi yang paling sering digunakan di industri kripto. Nama investor ini tidak nyaman untuk saya sebutkan; ia adalah sumber anonim yang pernah saya tulis dalam laporan saya.

Ia menanyakan apakah saya ingin mengenal seseorang bernama Adam Swick, yang pernah menjadi Chief Strategy Officer di perusahaan penambangan Bitcoin MARA Holdings. Saya menjawab boleh; ia memang selalu ramah dan dapat diandalkan. Setelah itu, saya dimasukkan ke sebuah grup obrolan.

Ia berkata bahwa Swick sedang menyiapkan pendirian “sebuah perbendaharaan aset digital baru”, “sudah ada satu calon investor benih berukuran besar”. Proyek ini terdengar sangat mencurigakan, namun saya tetap berencana untuk mendengarkan apa yang akan ia katakan.

Ia mengajak saya rapat panggilan di Telegram. Seminggu kemudian, sumber itu mengirimkan saya sebuah tautan yang tampak seperti tautan rapat Zoom. Saya membukanya.

Tampilan program yang dijalankan terlihat mirip dengan Zoom yang biasa saya gunakan setiap hari, namun detail desainnya sedikit tidak beres, dan audionya sama sekali tidak ada suaranya. Sistem memberi peringatan bahwa saya perlu memperbarui perangkat lunak untuk memperbaiki masalah audio; pada saat yang sama, Swick mengirim pesan: “Sepertinya Zoom di sisi kamu sedang bermasalah.” Saya mengklik untuk mengunduh paket pembaruannya.

Saat saya menyadari tautan di browser tidak sesuai dengan tautan yang dikirim via Telegram, seketika saya jadi waspada. Saya mengusulkan agar rapat dipindahkan ke Google Meet. “Ini membuat saya merasa seperti penipuan,” kata saya dalam grup kepada Swick dan sumber itu.

Swick masih bersikeras: “Jangan khawatir, aku baru saja mencobanya di komputerkuku dan tidak ada masalah.”

Saya tidak menjalankan skrip itu di Mac, dan dengan tegas keluar dari rapat Zoom. “Kalau mau ngobrol, pakai Google Meet saja.” Saya membalas di Telegram. Sumber saya langsung mengusir saya dari grup.

Serangan berantai seperti virus

Saat saya berlari keluar dari apartemen menuju departemen IT, saya mengirim pesan kepada peneliti keamanan senior Taylor Monahan. Ia merupakan anggota organisasi SEAL 911, sebuah kelompok relawan yang membantu korban pencurian mata uang kripto. Saya mengirimkan skrip yang saya unduh dan tautan konferensi video kepadanya.

“Ini perbuatan peretas Korea Utara.” Ia membalas saya beberapa detik kemudian.

Seandainya saya saat itu menjalankan skrip tersebut, para peretas akan mencuri kata sandi saya, akun Telegram saya, serta semua mata uang kripto yang saya miliki. Untungnya, saya hanya memegang sedikit Bitcoin dan beberapa aset kripto lain.

Sulit untuk memastikan dengan 100% siapa dalang di balik serangan itu, tapi dalam kejadian yang hampir menjerat saya kali ini, Monahan memberi tahu saya bahwa tautan, skrip, bahkan akun yang menyamar sebagai Swick—semua petunjuk mengarah ke Korea Utara. Investigasi akan mengaitkan insiden tersebut dengan Korea Utara dengan menggabungkan berbagai bukti seperti analisis blockchain. Dua peneliti keamanan lain yang selama ini mengikuti peretas Korea Utara juga mengonfirmasi penilaian itu setelah saya mengirimkan skrip dan tautan kepada mereka.

“Tolong sampaikan salam dariku ke dia, hahaha.” Kata Monahan, yang dimaksud adalah peretas Korea Utara yang mengincar saya.

Monahan dan peneliti keamanan lainnya sudah menangani ratusan kasus phishing konferensi video palsu di industri kripto. Polanya sudah dibuat-baku, tapi sangat efektif.

Para peretas akan terlebih dulu mengambil alih akun Telegram dari pengguna yang nyata, lalu menghubungi orang-orang di daftar kontaknya. Korban diminta untuk bergabung ke rapat video, tetapi selama panggilan audionya selalu tidak bisa berfungsi dengan semestinya. Setelah itu, korban dibujuk untuk menjalankan program pembaruan “memperbaiki audio”. Begitu skrip dijalankan, peretas dapat memperoleh aset kripto korban, kata sandi, serta akun Telegram.

Faktanya, dalam laporan yang dipublikasikan Google pada hari Rabu, disebutkan bahwa peretas Korea Utara yang menargetkan kelompok saya juga sedang merencanakan serangan terhadap para pengembang perangkat lunak secara luas.

Saya bukan seorang taipan Bitcoin yang mengendarai Lamborghini, tapi Monahan mengatakan bahwa peretas Korea Utara tidak hanya menargetkan orang kaya. Ia menemukan bahwa semakin banyak jurnalis industri kripto menjadi target, kemungkinan karena di Telegram para jurnalis itu terdapat banyak koneksi. Di antara para kontak itu, besar kemungkinan terselip cukup banyak taipan mata uang kripto.

Seperti peretasan layaknya virus yang menyerang sel-sel sehat, para peretas akan membobol akun-akun tersebut, lalu menyerang kontak di dalam akun tersebut. Saya nyaris jadi salah satunya. Saya mengira saya sedang mengobrol dengan orang yang saya kenal, sehingga saya lengah.

“Akulah yang palsu”

Setelah saya sepenuhnya memformat komputer, mengganti semua kata sandi, dan berkali-kali berterima kasih kepada administrator IT, akhirnya saya menelepon sumber itu. Seperti yang diduga, akun Telegram-nya sudah dicuri sejak awal Maret.

“Saya punya banyak kontak di Telegram saya, tapi tidak tersimpan di ponsel dan komputer,” katanya. “Namun yang paling membuat saya tidak nyaman adalah ada orang yang menyamar sebagai saya, memakai identitas saya untuk menipu orang. Rasanya sangat buruk karena dilanggar.”

Selain itu, meskipun ia berkali-kali menghubungi Telegram untuk meminta bantuan dalam tiga minggu, tetap tidak ada tanggapan. Seorang juru bicara Telegram mengatakan dalam sebuah pernyataan kepada saya: “Meski Telegram akan melakukan segala upaya untuk melindungi akun, tidak ada platform yang bisa menghentikan pengguna agar tidak ditipu.” Ia menambahkan bahwa setelah saya menghubungi mereka, platform tersebut telah membekukan akun investor hedge fund tersebut.

Saya juga menghubungi Adam Swick yang sebenarnya. Sejak awal Februari, ada orang yang menyamarinya di Telegram; mantan eksekutif MARA ini menerima tak terhitung pesan dan panggilan yang menanyakan mengapa ia mengatur rapat. Setiap kali, ia hanya bisa meminta maaf.

“Tapi ada beberapa orang yang akan membalas, ‘Kawan, kamu minta maaf tentang apa?’” kata Swick. “Saya cuma bisa bilang: ‘Saya tidak tahu, saya minta maaf atas pihak yang palsu… sungguh, saya minta maaf kalau ini terjadi.’”

Swick tidak tahu mengapa para peretas menyamar sebagai dirinya, dan sumber saya pun tidak tahu bagaimana Telegram-nya bisa dicuri. Namun pada saat obrolan telepon itu hampir berakhir, kami berdua tiba-tiba menemukan kemungkinan jawabannya.

Di antara orang terakhir yang sempat menghubungi sebelum Telegram investor itu dicuri, ada satu orang yang menyamar sebagai Swick. “Saya sempat melakukan panggilan Zoom dengannya, tapi di sisi dia audio tidak bisa terhubung,” kata sumber saya. “Saya samar-samar ingat bahwa saat itu saya sempat mengunduh sesuatu.”

Dengan kata lain, sumber saya kemungkinan besar juga diincar oleh kelompok peretas yang sama. Setelah kami menyadari bahwa komputer orang itu mungkin juga sudah terinfeksi, investor hedge fund tersebut langsung menutup telepon dan memformat komputernya sendiri.

Saya mengirim pesan kepada Adam Swick yang palsu di Telegram: “Apakah akun ini dikendalikan oleh peretas Korea Utara?”

Sampai sekarang, saya belum menerima balasan apa pun.