Peretas Korea Utara Manfaatkan Teknologi Blockchain dalam Operasi Siber Global yang Meluas

Pelaku ancaman yang terkait dengan Korea Utara memperkuat operasi siber mereka dengan menggunakan malware yang bersifat terdesentralisasi dan sulit dideteksi, menurut laporan terbaru dari Cisco Talos dan Google Threat Intelligence Group.

Kampanye ini fokus pada pencurian aset kripto, penyusupan ke jaringan, serta menghindari deteksi melalui metode penipuan lowongan kerja yang canggih.

Perkembangan Teknik Malware Menunjukkan Kemampuan yang Semakin Meningkat

Para peneliti dari Cisco Talos mengamati bahwa kelompok Korea Utara yang dikenal sebagai Famous Chollima menjalankan kampanye dengan menggunakan dua jenis malware yang saling melengkapi, BeaverTail dan OtterCookie. Awalnya, malware ini digunakan untuk mencuri data dan kredensial, namun kini telah diperbarui dengan fungsi tambahan dan interaksi yang lebih kompleks.

Dalam kasus terbaru di Sri Lanka, pelaku menyerang seorang pencari kerja dengan memancingnya menginstal malware yang disamarkan sebagai bagian dari evaluasi teknis. Meskipun organisasi tersebut bukan target utama, ditemukan adanya modul keylogging dan pengambilan screenshot yang tersembunyi, menunjukkan risiko yang meluas terhadap orang-orang yang terjebak dalam penipuan pekerjaan ini. Malware ini secara diam-diam merekam ketikan dan mengambil gambar layar yang kemudian dikirimkan ke server jarak jauh.

Pengamatan ini menggarisbawahi evolusi terus-menerus dari kelompok ancaman Korea Utara yang semakin fokus menggunakan teknik rekayasa sosial untuk menargetkan korban yang tidak curiga.

Pemanfaatan Blockchain sebagai Infrastruktur Komando Terdesentralisasi

Google Threat Intelligence Group (GTIG) mengungkap operasi aktor UNC5342 yang juga terkait dengan Korea Utara, yang memakai malware baru bernama EtherHiding. Malware ini menyimpan kode JavaScript berbahaya di blockchain publik, sehingga menciptakan jaringan command and control (C2) yang terdesentralisasi.

Dengan memanfaatkan blockchain, penyerang dapat mengendalikan malware dari jarak jauh tanpa memerlukan server tradisional, yang membuat tindakan penegakan hukum menjadi jauh lebih sulit. GTIG juga melaporkan bahwa UNC5342 menggunakan EtherHiding dalam kampanye rekayasa sosial bernama Contagious Interview, yang sebelumnya telah terdeteksi oleh Palo Alto Networks, menunjukkan konsistensi aktivitas kelompok ini.

Target: Pencari Kerja untuk Mencuri Aset Kripto dan Data

Menurut peneliti Google, serangan biasanya dimulai dengan penawaran kerja palsu yang menyasar profesional di bidang aset kripto dan keamanan siber. Korban diajak mengikuti penilaian palsu yang melibatkan pengunduhan file berisi kode berbahaya.

Infeksi sering melibatkan beberapa jenis malware seperti JadeSnow, BeaverTail, dan InvisibleFerret, yang bersama-sama memungkinkan penyerang mengakses sistem, mencuri data kredensial, dan menyebarkan ransomware secara efektif. Tujuan akhir mereka berkisar dari spionase, pencurian finansial, hingga infiltrasi jaringan dalam jangka panjang.

Cisco dan Google telah merilis indikator kompromi (IOCs) untuk membantu organisasi dalam mendeteksi dan merespons ancaman siber terkait Korea Utara. Mereka memperingatkan bahwa integrasi teknologi blockchain dengan malware modular akan semakin mempersulit upaya pertahanan keamanan siber di tingkat global.