Menelusuri Mesin Kripto Korea Utara: Investigasi Terbaru ZachXBT

Penyelidik blockchain ZachXBT telah menerbitkan salah satu laporannya yang paling terperinci, dan laporan tersebut mengungkap bagaimana pekerja IT Korea Utara menguras jutaan dolar dari industri kripto setiap bulannya.

Sebuah sumber anonim menyerahkan kepada ZachXBT data yang dieksfiltrasi dari server pembayaran internal Korea Utara. Kumpulan data tersebut berisi 390 akun, log obrolan pribadi, dan catatan transaksi kripto dari Desember 2025 hingga April 2026. Tidak ada satupun yang pernah dipublikasikan. Apa yang ditemukan ZachXBT di dalamnya adalah skema yang beroperasi penuh dan terorganisir yang menghasilkan sekitar $1 juta per bulan melalui identitas palsu, dokumen hukum palsu, dan jaringan konversi kripto-ke-fiat yang kedap.

Pusat operasi ini adalah situs bernama luckyguys[.]site — sebuah platform pengiriman uang internal yang digunakan oleh pekerja IT Korea Utara untuk melaporkan pembayaran kembali kepada atasan mereka. Anggap saja sebagai messenger pribadi yang dibuat khusus untuk menyalurkan uang. Kata sandi default platform ini adalah 123456. Sepuluh pengguna tidak pernah mengubahnya. Daftar pengguna mencakup nama-nama Korea asli, lokasi kota, nama grup berkode, dan peran yang ditugaskan. Tiga dari perusahaan yang muncul dalam data saat ini disanksi oleh OFAC: Sobaeksu, Saenal, dan Songkwang.

Sejak akhir November 2025, lebih dari $3.5 juta telah melewati alamat dompet pembayaran yang terhubung dengan jaringan ini. Metode ini konsisten di antara para pengguna. Pekerja akan menerima kripto dari bursa atau layanan, atau mengonversi penghasilan ke fiat melalui rekening bank Tiongkok melalui platform seperti Payoneer. Sebuah akun admin pusat yang diidentifikasi hanya sebagai PC-1234 akan mengonfirmasi penerimaan dan mendistribusikan kredensial untuk bursa atau platform fintech mana pun yang digunakan dalam siklus tersebut. Satu alamat pembayaran Tron dibekukan oleh Tether pada Desember 2025 — yang berarti seseorang sudah mengetahui hal ini sedang terjadi. Namun hal itu tidak menghentikan jaringan.

Seorang pekerja, yang disebut sebagai "Jerry," tertangkap melamar pekerjaan jarak jauh dengan persona palsu saat terhubung melalui Astrill VPN. Pesan internal menunjukkan para pekerja mendiskusikan artikel berita tentang seorang pekerja IT Korea Utara yang tertangkap menggunakan teknologi deepfake selama wawancara kerja, dengan cemas bertanya-tanya apakah itu salah satu dari mereka. Tiga puluh tiga pekerja ditemukan berkomunikasi di jaringan yang sama. Ini bukan sel terisolasi kecil. Ini adalah tenaga kerja, dengan struktur, disiplin, dan rantai komando yang sangat jelas.

Antara November 2025 dan Februari 2026, admin jaringan mendistribusikan 43 modul pelatihan yang berfokus pada Hex-Rays dan IDA Pro — alat profesional yang digunakan untuk rekayasa balik (reverse engineering) dan analisis biner. Materi tersebut mencakup disassembler, dekompilasi, debugging, dan pembukaan (unpacking) eksekusi berbahaya. Ini bukan alat operasi penipuan dasar. Ini adalah alat orang-orang yang bersiap untuk melakukan kerusakan serius.

ZachXBT berhati-hati untuk mencatat bahwa kluster ini berada di bawah kelompok ancaman Korea Utara yang lebih berbahaya seperti AppleJeus dan TraderTraitor, yang bertanggung jawab atas beberapa pencurian kripto terbesar yang tercatat. Kelompok ini berada di tingkat yang lebih rendah. Namun lebih rendah bukan berarti tidak berbahaya. ZachXBT sebelumnya memperkirakan bahwa pekerja IT Korea Utara secara kolektif menghasilkan beberapa tujuh angka per bulan di seluruh industri, dan investigasi ini mendukung angka tersebut dengan bukti. Situs pembayaran internal tersebut tidak dapat diakses tak lama setelah ZachXBT menerbitkan laporannya. Semua data telah diarsipkan.

Respons Industri

Laporan ZachXBT tidak turun begitu saja tanpa reaksi. Laporan itu muncul di tengah minggu di mana industri ini sudah bergulat dengan skala kehadiran Korea Utara di dalam tim kripto. Beberapa hari sebelum laporan, peneliti keamanan MetaMask Taylor Monahan mengklaim bahwa lebih dari 40 platform DeFi secara tidak sengaja mempekerjakan pengembang Korea Utara yang disponsori negara, beberapa di antaranya sudah ada sejak musim panas DeFi pada tahun 2020. "Banyak pekerja IT Korea Utara membangun protokol yang Anda kenal dan sukai," tulisnya di X, menambahkan bahwa banyak dari pekerja ini memiliki pengalaman blockchain asli, yang membuat mereka sangat sulit diidentifikasi.

ZachXBT sendiri, ketika ditanya tentang kecanggihan taktik ini, langsung menjawab. "Ancaman melalui lowongan pekerjaan, LinkedIn, email, Zoom, atau wawancara adalah dasar dan sama sekali tidak canggih," katanya. "Satu-satunya hal tentang itu adalah mereka gigih."

Reaksi komunitas yang lebih luas beragam. Banyak yang menunjuk pada kelalaian perekrutan di antara tim-tim yang menjadi defensif ketika diperingatkan tentang potensi ancaman keamanan. Yang lain menunjuk pada angka-angka: pada tahun 2025, kelompok yang terkait dengan Korea Utara mencuri setidaknya $2.02 miliar dalam mata uang kripto — 60% dari total pencurian global tahun itu — termasuk peretasan Bybit senilai $1.5 miliar. Investigasi terbaru ini bukanlah insiden terisolasi. Ini adalah satu bagian yang terlihat dari operasi yang jauh lebih besar.

Apa yang dijelaskan oleh investigasi ini adalah bahwa operasi kripto Korea Utara bukanlah kumpulan pekerja lepas yang nakal. Ini adalah perusahaan yang terstruktur dan hierarkis dengan atasan, admin, pekerja terlatih, dan infrastruktur pembayaran yang telah berjalan selama berbulan-bulan tanpa gangguan. Bagi setiap proyek kripto, bursa, atau DAO yang mempekerjakan kontributor jarak jauh, ini bukanlah masalah yang jauh. Para pekerja ini sedang melamar pekerjaan sekarang, dengan portofolio yang rapi dan wajah yang mungkin bukan milik mereka sendiri. Verifikasi tidak pernah sepenting ini.

Blockchain itu transparan. Jaringan-jaringan ini mengandalkan industri yang tidak memperhatikan.