Peretas Korea Utara mencuri rekor 2 miliar dolar AS dalam cryptocurrency pada tahun 2025, pola pencucian uang selama 45 hari terungkap

Sebuah laporan baru dari perusahaan analitik blockchain Chainalysis mengungkapkan bahwa peretas yang terkait dengan Korea Utara mencuri setidaknya $2 miliar dalam mata uang kripto pada tahun 2025, rekor lonjakan 51% tahun-ke-tahun, dan pencurian kumulatif mereka telah mencapai $6,75 miliar. Terlepas dari penurunan jumlah insiden, skala serangan tunggal sangat besar, dengan 76% serangan lapisan layanan dilakukan oleh kerentanan Bybit senilai $1,4 miliar pada bulan Maret.

Untuk pertama kalinya, laporan tersebut secara sistematis menggambarkan jalur pencucian uang yang unik dari peretas Korea Utara: mengandalkan penyedia layanan dan mixer China, dan mengikuti siklus pencucian uang 45 hari yang khas. Ini menandai bahwa industri cryptocurrency menghadapi “ancaman super” yang didukung negara, sangat terorganisir, dan didanai dengan baik, menimbulkan tantangan yang belum pernah terjadi sebelumnya terhadap kolaborasi keamanan dan kepatuhan bursa dan protokol global.

Skala pencurian mencapai titik tertinggi baru: dari “melemparkan jaring lebar” menjadi “berburu dan membunuh”

Lanskap pencurian kripto pada tahun 2025 telah berubah menjadi meresahkan: total pencurian global naik menjadi $3,4 miliar, dengan hampir dua pertiga dari “kredit” diberikan kepada satu aktor – kelompok peretas yang terkait dengan pemerintah Korea Utara. Menurut laporan otoritatif oleh Chainalysis, peretas ini mencuri setidaknya $2.02 miliar pada tahun 2025, meningkat 51% dari tahun 2024 tetapi juga hampir 6.7 kali tingkat pada tahun 2020. Lebih penting lagi, “rekor” rekor ini datang dengan latar belakang pengurangan yang signifikan dalam jumlah serangan yang diketahui, menyoroti bahwa taktiknya telah ditingkatkan dari pelecehan yang sering terjadi di masa lalu menjadi serangan presisi “bedah” terhadap target bernilai tinggi.

Model “kurang tapi besar” ini tercermin dengan jelas dalam data. Laporan tersebut mencatat bahwa peretas Korea Utara akan bertanggung jawab atas 76% intrusi lapisan layanan pada tahun 2025, persentase tertinggi dalam sejarah. “Lapisan layanan” di sini terutama mengacu pada bursa terpusat (CEX), kustodian, dan platform lain yang menyimpan sejumlah besar aset pengguna. Peristiwa yang paling representatif adalah serangan senilai $1,4 miliar terhadap Bybit pada Maret 2025, yang menyumbang sebagian besar dari total yang dicuri oleh peretas Korea Utara sepanjang tahun. Andrew Fierman, kepala intelijen keamanan nasional di Chainalysis, menganalisis: "Evolusi ini adalah kelanjutan dari tren jangka panjang. Peretas Korea Utara telah lama menunjukkan tingkat kecanggihan yang tinggi, dan operasi mereka pada tahun 2025 menyoroti bahwa mereka terus mengembangkan taktik dan target pilihan mereka. "Ini menunjukkan bahwa penyerang mengejar rasio risiko-manfaat maksimum, memfokuskan sumber daya pada satu tujuan yang memberikan pengembalian yang mengganggu.

Pergeseran ini menimbulkan ancaman struktural bagi ekosistem cryptocurrency. Ketika penyerang menargetkan platform layanan inti yang penting secara sistemik, keberhasilan mereka tidak hanya menyebabkan kerugian finansial yang besar, tetapi juga sangat merusak kepercayaan pasar, memicu krisis kepercayaan dan pengawasan peraturan yang mengalir. Tidak seperti pencurian kecil yang menargetkan dompet pribadi, serangan ini mengguncang fondasi infrastruktur industri.

Rekayasa pencucian uang: mengungkapkan jalur perakitan “pembersihan” dana 45 hari

Pencurian hanyalah langkah pertama, dan cara mencuci “uang hitam” dan akhirnya memonetisasinya adalah kunci untuk lingkaran tertutup operasi peretas. Kontribusi inti lainnya dari laporan Chainalysis adalah untuk menguraikan dengan jelas pola pencucian uang yang sangat terspesialisasi dan direkayasa dari geng peretasan Korea Utara, yang berbeda secara signifikan dari geng penjahat dunia maya biasa.

Pertama-tama, dalam hal strategi transfer dana, peretas Korea Utara telah menunjukkan rasa anti-investigasi yang kuat. Mereka cenderung membagi sejumlah besar uang curian menjadi sejumlah besar kurang dari $500.000 untuk transfer on-chain, dengan lebih dari 60% transfer dikendalikan di bawah ambang batas ini. Sebaliknya, peretas dengan latar belakang non-negara lebih suka melakukan transfer besar jutaan atau bahkan puluhan juta dolar. Pendekatan “memecahnya menjadi beberapa bagian” ini secara signifikan meningkatkan kompleksitas dan biaya pelacakan on-chain, ciri khas dari meningkatnya kecanggihan keamanan operasional (OPSEC).

Kedua, dalam hal pilihan layanan, preferensi mereka mengungkapkan ketergantungan geografis dan kendala spesifik mereka. Peretas Korea Utara memanfaatkan layanan jaminan China, broker, dan jaringan over-the-counter (OTC) secara ekstensif, dan sangat bergantung pada jembatan dan mixer lintas rantai seperti Tornado Cash untuk mengaburkan aliran dana. Menariknya, mereka memiliki sedikit atau tidak ada keterlibatan dalam protokol pinjaman DeFi dan pertukaran terdesentralisasi (DEX) yang biasa digunakan oleh penjahat lain. Chainalysis mencatat bahwa pola-pola ini menunjukkan bahwa aktor Korea Utara terikat secara berbeda dan sangat terkait dengan jaringan layanan ilegal tertentu di kawasan Asia-Pasifik, yang mungkin berasal dari realitas historisnya yang terisolasi dari sistem keuangan arus utama global.

Proses pencucian uang standar 45 hari untuk peretas Korea Utara

Fase 1: Kebingungan Cepat (Hari 0-5)

• Tujuan inti: Segera putuskan asosiasi langsung dana curian dengan alamat sumber.
• Alat utama: Mixer koin, protokol DeFi (untuk mengganti jenis aset dengan cepat).
• Tujuan: Buat penghalang pelacakan awal untuk mengulur waktu untuk tindakan selanjutnya.

Fase 2: Integrasi dan Difusi (Hari 6-20)

• Tujuan inti: Membawa dana ke dalam ekosistem yang lebih luas untuk membuka jalan bagi monetisasi.
• Alat utama: Bursa terpusat, jembatan lintas rantai, dan layanan pencampuran mata uang sekunder dengan persyaratan KYC yang longgar.
• Tujuan: Transfer antar rantai yang berbeda, aset yang berbeda, dan platform layanan yang berbeda, semakin mengaburkan jalur dan mulai menghubungi saluran keluar potensial.

Tahap 3: Monetisasi Akhir (Hari 21-45)

• Tujuan inti: Mengonversi aset kripto menjadi mata uang fiat atau bentuk lain yang sulit dilacak.
• Alat utama: Tidak ada pertukaran KYC, platform pertukaran instan, penyedia layanan OTC Cina, dan dicampur ulang ke dalam CEX arus utama untuk menggabungkan lalu lintas perdagangan legal.
• Tujuan: Selesaikan langkah terakhir pencucian uang untuk mewujudkan nilai ekonomis dari pencurian.

Revolusi Taktis: Pemberdayaan AI dan “Infiltrasi Internal” Menjadi Pembunuh Baru

Pencurian skala besar dan pencucian uang yang efisien seperti itu tidak lagi dijelaskan dengan cara teknis tradisional. Laporan Chainalysis dan isyarat industri menunjukkan bahwa peretas Korea Utara mungkin membuat “revolusi taktis” di dua bidang, mendapatkan keuntungan asimetris.

Yang pertama adalah penerapan kecerdasan buatan (AI) secara mendalam. Andrew Fierman menjelaskan kepada media bahwa Korea Utara menggunakan AI sebagai “negara adidaya” untuk operasi peretasannya, terutama dalam hubungan pencucian uang. “Penggunaan konsistensi dan fluiditas Korea Utara untuk memfasilitasi pencucian dana curian kriptonya menunjukkan penggunaan AI,” katanya. Mekanisme struktural proses pembersihan dan skala operasi, menciptakan alur kerja yang menggabungkan mixer koin, protokol DeFi, dan jembatan lintas rantai… Untuk mencuri cryptocurrency dalam jumlah besar dengan sangat efisien, Korea Utara membutuhkan jaringan pencucian uang yang besar dan mekanisme yang efisien untuk memfasilitasi pencucian, yang dapat berupa aplikasi AI. "AI dapat digunakan untuk secara otomatis menghasilkan dan mengganti alamat dompet, mengoptimalkan jalur transaksi untuk menghindari model pemantauan, dan bahkan mensimulasikan perilaku pengguna normal untuk berbaur dengan pertukaran, sangat meningkatkan kesulitan penanggulangan.

Yang kedua adalah vektor serangan “infiltrasi personel” yang belum pernah terjadi sebelumnya. Laporan tersebut menunjukkan bahwa peretas Korea Utara mendapatkan akses istimewa dengan menempatkan operator di posisi teknis di perusahaan cryptocurrency (seperti bursa, kustodian, perusahaan Web3). Pada bulan Juli, ZachXBT, seorang penyelidik on-chain terkenal, mengungkapkan bahwa personel yang terkait dengan Korea Utara mungkin telah menyusup ke 345 hingga 920 posisi di industri kripto global. Serangan “Trojan” ini dapat membongkar garis keamanan eksternal terkuat dari dalam dan langsung membuka pintu belakang untuk transfer dana skala besar. Selain itu, peretas telah menyamar sebagai pemberi kerja atau kontak industri untuk menombak phishing melalui konferensi video palsu dan cara lain, dan telah mencuri lebih dari $ 300 juta tahun ini. Kombinasi dari cara ini menyulitkan pembela untuk berurusan tidak hanya dengan kerentanan kode, tetapi juga dengan kelemahan dalam kemanusiaan dan kepercayaan.

Outlook untuk tahun 2026: Tantangan utama untuk pertahanan kolaboratif industri

Menghadapi musuh dengan sumber daya nasional, terus berkembang, dan sembrono, industri cryptocurrency akan menghadapi uji stres pamungkas di sektor keamanan pada tahun 2026. Laporan Chainalysis mengeluarkan peringatan yang jelas: mengingat meningkatnya ketergantungan Korea Utara pada pencurian cryptocurrency untuk mendanai prioritas nasional dan menghindari sanksi internasional, industri harus mengakui bahwa logika dan kendala tindakan pelaku ancaman ini pada dasarnya berbeda dari penjahat dunia maya biasa.

Vektor serangan masa depan mungkin lebih beragam. Sementara bursa terpusat besar seperti Bybit dan Upbit masih menjadi target bernilai tinggi, protokol DeFi yang sudah berjalan lama (seperti insiden Balancer dan Yearn yang disebutkan dalam laporan) juga dapat memasuki bidang penglihatan penyerang. “Meskipun kami tidak dapat memprediksi apa yang akan terjadi pada tahun 2026, kami tahu bahwa Korea Utara akan berusaha untuk memaksimalkan target pengembaliannya - yang berarti bahwa layanan dengan cadangan tinggi harus mempertahankan standar keamanan yang tinggi untuk memastikan mereka tidak menjadi kerentanan berikutnya,” Fierman menekankan. ”

Untuk menghadapi tantangan ini, tidak cukup lagi bagi satu instansi untuk berjuang sendirian. Laporan tersebut menyerukan mekanisme respons terkoordinasi yang cepat di seluruh industri. Fierman berkomentar: "Korea Utara menerapkan strategi pencucian uang yang cepat dan efektif. Oleh karena itu, respons cepat di seluruh industri diperlukan untuk merespons. Penegakan hukum dan sektor swasta, dari bursa hingga perusahaan analitik blockchain, perlu berkoordinasi secara efektif untuk mencegat peluang apa pun ketika dana mengalir melalui stablecoin atau tiba di bursa di mana dana dapat segera dibekukan. "Ini termasuk berbagi intelijen ancaman waktu nyata, pemblokiran bersama alamat mencurigakan di seluruh platform, dan kolaborasi yudisial yang lebih erat dengan lembaga penegak hukum di seluruh dunia.

Bagi rata-rata investor, laporan ini merupakan pengingat risiko yang kuat bahwa risiko penyimpanan jangka panjang sejumlah besar aset dalam layanan terpusat, bahkan di platform teratas, meningkat secara sistematis. Mengadopsi dompet perangkat keras untuk penyimpanan mandiri, mendesentralisasi penyimpanan aset, dan waspada terhadap komunikasi yang tidak diverifikasi akan menjadi kebiasaan keamanan yang lebih diperlukan. Pada tahun 2026, pertempuran ofensif dan defensif antara dunia cryptocurrency dan organisasi peretas tingkat negara bagian pasti akan menjadi lebih intens.