Peretas Korea Utara Curi US$300 Juta Lewat Rapat Zoom Palsu

Kriminal siber Korea Utara melakukan perubahan strategi dalam kampanye rekayasa sosial mereka. Mereka telah mencuri lebih dari US$300 juta dengan menyamar sebagai tokoh industri terpercaya dalam pertemuan video palsu.

Peringatan yang diuraikan oleh peneliti keamanan MetaMask, Taylor Monahan (dikenal sebagai Tayvano), menjelaskan adanya “long-con” canggih yang menargetkan eksekutif aset kripto.

Bagaimana Rapat Palsu dari Korea Utara Menguras Wallet Aset Kripto

Menurut Monahan, kampanye ini berbeda dari serangan belakangan yang mengandalkan AI deepfake.

Sebaliknya, pelaku menggunakan cara yang lebih sederhana dengan memanfaatkan akun Telegram yang dibajak dan rekaman video loop dari wawancara asli.

Serangan biasanya diawali setelah peretas mengambil alih akun Telegram yang dipercaya, sering kali milik seorang venture capitalist atau seseorang yang pernah ditemui korban di konferensi.

Lalu, pelaku jahat ini memanfaatkan riwayat percakapan untuk terlihat sah, lalu membujuk korban menuju panggilan video Zoom atau Microsoft Teams lewat tautan Calendly yang disamarkan.

Begitu pertemuan dimulai, korban melihat apa yang nampaknya merupakan video langsung dari kontak mereka. Padahal, itu sering kali hanyalah rekaman ulang dari podcast atau penampilan publik.

Biasanya, momen penentu terjadi setelah muncul masalah teknis yang sengaja diciptakan.

Setelah menyebutkan ada gangguan audio atau video, pelaku akan mendesak korban agar memperbaiki koneksi dengan mengunduh skrip tertentu atau memperbarui software development kit (SDK). File yang dikirim saat itu berisi malware berbahaya.

Begitu malware terpasang—biasanya berjenis Remote Access Trojan (RAT)—pelaku bisa memperoleh kendali penuh.

Malware ini menguras wallet aset kripto dan mencuri data sensitif, termasuk protokol keamanan internal serta token sesi Telegram, yang kemudian digunakan untuk menargetkan korban berikutnya dalam jaringan.

Berkaca pada hal ini, Monahan memperingatkan bahwa vektor serangan khusus ini memanfaatkan kesopanan profesional.

Para peretas mengandalkan tekanan psikologis dari “pertemuan bisnis” untuk membuat korban lengah, sehingga permintaan bantuan teknis rutin bisa berubah menjadi pelanggaran keamanan yang fatal.

Bagi pelaku industri, semua permintaan untuk mengunduh perangkat lunak saat panggilan kini dianggap sebagai sinyal serangan yang aktif.

Sementara itu, strategi “pertemuan palsu” ini merupakan bagian dari serangan yang lebih luas oleh aktor dari Democratic People’s Republic of Korea (DPRK). Mereka telah mencuri sekitar US$2 miliar dari sektor ini selama setahun terakhir, termasuk peretasan Bybit.