Operator terkait Korea Utara telah bertahun-tahun diam-diam menyusup ke perusahaan kripto dan tim DeFi, menimbulkan kekhawatiran baru tentang risiko orang dalam setelah serangkaian eksploitasi bernilai tinggi yang terkait dengan aparatus siber negara tersebut.
Peneliti keamanan dan pengembang MetaMask Taylor Monahan mengatakan taktik ini sudah ada sejak awal keuangan terdesentralisasi (DeFi), dengan individu-individu yang terkait dengan Republik Rakyat Demokratik Korea berkontribusi pada beberapa protokol yang banyak digunakan.
“Banyak pekerja IT DPRK membangun protokol yang Anda kenal dan sukai, jauh sebelum 'DeFi summer',” katanya pada hari Minggu, menambahkan bahwa lebih dari 40 platform, termasuk beberapa proyek terkenal, pada suatu waktu telah mengandalkan pengembang semacam itu.
Namun, ia mencatat bahwa “pengalaman pengembangan blockchain tujuh tahun” yang tercantum di resume mereka “bukanlah kebohongan.”
Penyelidik telah lama mengaitkan operasi siber Korea Utara dengan Lazarus Group, sebuah kolektif yang didukung negara yang diyakini telah mencuri sekitar $7 miliar aset digital sejak 2017, menurut analis R3ACH.
Kelompok ini telah dikaitkan dengan beberapa pelanggaran terbesar di industri, termasuk eksploitasi Ronin Bridge senilai $625 juta pada tahun 2022, peretasan WazirX senilai $235 juta pada tahun 2024, dan insiden Bybit senilai $1,4 miliar pada tahun 2025.
Eksploitasi Drift Protocol senilai $280 juta pekan lalu telah menarik perhatian baru. Proyek tersebut mengatakan memiliki “keyakinan sedang-tinggi” bahwa kelompok yang berafiliasi dengan negara Korea Utara berada di balik serangan itu, menghubungkan insiden tersebut dengan pola penyusupan dan rekayasa sosial yang lebih luas.
Namun, pertemuan tatap muka yang mengarah pada pelanggaran itu bukan dengan warga negara Korea Utara, melainkan “perantara pihak ketiga” yang menggunakan “identitas yang sepenuhnya dibangun termasuk riwayat pekerjaan, kredensial publik, dan jaringan profesional.”
Profil-profil ini mencakup riwayat pekerjaan, kredensial publik, dan jaringan profesional aktif, memungkinkan mereka untuk membangun kepercayaan melalui interaksi tatap muka sebelum eksploitasi terjadi.
Penyelidik blockchain independen ZachXBT telah memperingatkan dalam postingan X baru-baru ini bahwa tidak semua ancaman yang terkait dengan Korea Utara beroperasi pada tingkat kecanggihan yang sama.
“Masalah utamanya adalah setiap orang mengelompokkan semuanya bersama-sama padahal kompleksitas ancamannya berbeda,” katanya.
Ia menggambarkan banyak upaya penyusupan sebagai hal yang relatif sederhana, mengandalkan kegigihan daripada kompleksitas teknis. Pendekatan melalui lowongan pekerjaan, LinkedIn, email, panggilan Zoom, dan proses wawancara tetap umum.
“Dasar dan sama sekali tidak canggih […] satu-satunya hal tentang ini adalah mereka tanpa henti,” katanya, menambahkan bahwa tim yang terus-menerus terjebak taktik semacam itu pada tahun 2026 berisiko dianggap lalai.
