Menurut laporan yang dirilis oleh Multilateral Sanctions Monitoring Team (MSMT), peretas yang terkait dengan Korea Utara mencuri aset virtual senilai US$2,83 miliar antara 2024 dan September 2025.
Laporan tersebut menekankan bahwa Pyongyang tidak hanya unggul dalam pencurian tetapi juga memiliki metode canggih untuk melikuidasi hasil curian tersebut.
SponsoredPendapatan Hasil Peretasan Menyumbang Sepertiga Mata Uang Asing Negara
MSMT adalah koalisi multinasional yang terdiri dari 11 negara, termasuk AS, Korea Selatan, dan Jepang. Koalisi ini didirikan pada Oktober 2024 untuk mendukung pelaksanaan sanksi Dewan Keamanan PBB terhadap Korea Utara.
Menurut MSMT, US$2,83 miliar yang dicuri dari 2024 hingga September 2025 adalah angka yang krusial.
“Hasil pencurian aset virtual Korea Utara pada 2024 mencapai sekitar sepertiga dari total pendapatan mata uang asing negara tersebut,” ujar tim tersebut.
Skala pencurian meningkat drastis, dengan US$1,64 miliar dicuri pada 2025 saja, mewakili peningkatan lebih dari 50% dari US$1,19 miliar yang diambil pada 2024, meskipun angka 2025 belum termasuk kuartal terakhir.
Sponsored SponsoredPeretasan Bybit dan Sindikat TraderTraitor
MSMT mengidentifikasi peretasan Bybit, exchange global, pada Februari 2025 sebagai kontributor utama peningkatan pendapatan ilegal pada 2025. Serangan ini dikaitkan dengan TraderTraitor, salah satu organisasi peretasan paling canggih di Korea Utara.
Penyelidikan mengungkap bahwa kelompok ini mengumpulkan informasi terkait SafeWallet, penyedia wallet multi-signature yang digunakan oleh Bybit. Mereka kemudian mendapatkan akses tidak sah melalui email phishing.
Mereka menggunakan kode berbahaya untuk mengakses jaringan internal, menyamarkan transfer eksternal sebagai pergerakan aset internal. Ini memungkinkan mereka untuk mengambil alih kendali kontrak pintar wallet dingin.
MSMT mencatat bahwa dalam peretasan besar selama dua tahun terakhir, Korea Utara sering lebih memilih menargetkan penyedia layanan pihak ketiga yang terhubung dengan exchange. Hal ini dilakukan daripada menyerang exchange itu sendiri.
Sponsored SponsoredMekanisme Pencucian Uang Sembilan Langkah
MSMT merinci proses pencucian sembilan langkah yang teliti yang digunakan Korea Utara untuk mengonversi aset virtual yang dicuri menjadi mata uang fiat:
1. Penyerang menukar aset yang dicuri dengan mata uang kripto seperti ETH di Decentralized Exchange (DEX).
2. Mereka ‘mencampur’ dana menggunakan layanan seperti Tornado Cash, Wasabi Wallet, atau Railgun.
3. Mereka mengonversi ETH ke BTC melalui layanan jembatan.
4. Mereka memindahkan dana ke wallet dingin setelah melewati akun exchange terpusat.
5. Mereka menyebarkan aset ke berbagai wallet setelah putaran pencampuran kedua.
6. Mereka menukar BTC dengan TRX (Tron) menggunakan perdagangan jembatan dan P2P.
7. Mereka mengonversi TRX ke stablecoin USDT.
8. Mereka mentransfer USDT ke broker Over-the-Counter (OTC).
9. Broker OTC melikuidasi aset menjadi mata uang fiat lokal.
Jaringan Global Memfasilitasi Penarikan Tunai
Tahap paling menantang adalah mengonversi kripto menjadi fiat yang dapat digunakan. Ini dilakukan menggunakan broker OTC dan perusahaan keuangan di negara pihak ketiga, termasuk Cina, Rusia, dan Kamboja.
SponsoredLaporan tersebut menyebutkan individu-individu tertentu. Termasuk di antaranya warga negara Cina Ye Dinrong dan Tan Yongzhi dari Shenzhen Chain Element Network Technology serta trader P2P Wang Yicong.
Mereka diduga bekerja sama dengan entitas Korea Utara untuk menyediakan identitas palsu dan memfasilitasi pencucian aset. Perantara Rusia juga terlibat dalam likuidasi sekitar US$60 juta dari peretasan Bybit.
Selain itu, Huione Pay, penyedia layanan keuangan di bawah Huione Group Kamboja, digunakan untuk pencucian.
“Seorang warga negara Korea Utara menjalin hubungan pribadi dengan rekan-rekan Huione Pay dan bekerja sama dengan mereka untuk mencairkan aset virtual pada akhir 2023,” ujar MSMT.
MSMT menyampaikan kekhawatiran kepada pemerintah Kamboja pada Oktober dan Desember 2024. Kekhawatiran ini terkait dengan aktivitas Huione Pay yang mendukung peretas siber Korea Utara yang ditetapkan oleh PBB. Akibatnya, Bank Nasional Kamboja menolak memperbarui lisensi pembayaran Huione Pay; namun, perusahaan tersebut terus beroperasi di negara tersebut.
