Grup Lazarus: Bagaimana Aktor Siber Korea Utara Mencuri Kripto
Satu kelompok peretas telah mencuri lebih banyak mata uang kripto daripada siapa pun dalam sejarah. Kelompok ini juga bekerja untuk pemerintah. Lazarus Group adalah operasi peretasan negara Korea Utara, dan bagi mereka, mencuri kripto bukanlah pekerjaan sampingan. Itu adalah pekerjaan utama, sumber pendapatan nasional dengan gaji yang besar. Dalam tahun yang baik, menurut standar mereka, kelompok ini menguras lebih dari dua miliar dolar dari bursa, jembatan, dan dompet biasa. Sebagian besar uang itu hilang sebelum ada yang melaporkannya.
Panduan ini membahas siapa mereka, perampokan terbesar yang terkait dengan mereka, bagaimana serangan sebenarnya terjadi, bagaimana uang dicuci, dan berapa banyak uang yang telah hilang. Fokusnya tetap pada kripto. Di situlah kisah ini berpusat sekarang.
Siapa Sebenarnya Grup Lazarus Itu?
Lupakan citra peretas tunggal berjaket hoodie. Grup Lazarus lebih mirip departemen pemerintah dengan daftar gaji. Lembaga-lembaga Barat mengaitkannya dengan Biro Intelijen Umum Korea Utara, dinas intelijen luar negeri utama negara itu, dan dengan unit-unit yang kadang-kadang disebut Biro 121. Para peneliti keamanan siber melacaknya sebagai satu kelompok ancaman tunggal, meskipun dalam praktiknya itu adalah sekelompok tim yang menjalankan operasi siber ofensif pemerintah Korea Utara. Orang-orang di balik keyboard dilatih, digaji, dan diberi tugas, dan daftar target mereka ditentukan oleh negara.
Kelompok ini dikenal dengan banyak nama tergantung siapa yang menulis laporannya: APT38, Hidden Cobra, Guardians of Peace, Labyrinth Chollima. Para analis membaginya menjadi sub-tim dengan tugas yang berbeda. BlueNoroff mengejar uang dari bank dan perusahaan kripto, Andariel cenderung ke arah spionase dan disrupsi, dan payung Lazarus yang lebih luas menangani serangan-serangan utama. Kelompok ini telah aktif dalam berbagai bentuk sejak sekitar tahun 2009, yang menjadikannya salah satu aktor ancaman yang paling lama beroperasi dan paling termotivasi secara finansial di dunia.
Yang membedakan Lazarus dari sebagian besar peretas negara adalah motifnya. Rusia dan China sebagian besar melakukan spionase. Korea Utara mencuri untuk membiayai dirinya sendiri. Pada September 2019, Departemen Keuangan AS secara resmi menjatuhkan sanksi kepada Lazarus dan dua kelompok terkait, BlueNoroff dan Andariel, menyebut mereka sebagai bagian dari negara Korea Utara. Sebuah perusahaan keamanan merangkum kelompok tersebut dengan tepat: sindikat kriminal dengan bendera.
Dari Sony hingga WannaCry: Tahun-Tahun Awal
Sebelum era kripto, Lazarus membangun reputasinya di atas kekacauan. Film laris tahun 2014 dari Sony Pictures Entertainment ini, yang ditandatangani oleh Guardians of Peace, menghapus data sistem, membocorkan film-film yang belum dirilis, dan mengungkap email internal selama bertahun-tahun. Motifnya tampak jelas? Sebuah komedi yang mengejek pemimpin Korea Utara. Berisik, politis, destruktif. Belum menghasilkan keuntungan.
Uang menjadi hal berikutnya. Pada tahun 2016, kelompok ini hampir berhasil melakukan salah satu perampokan bank terbesar yang pernah dicoba, dengan mengirimkan pesan SWIFT palsu untuk menguras $951 juta dari rekening Bank Bangladesh di Federal Reserve New York. Kesalahan ketik dan sedikit keberuntungan menggagalkan sebagian besar upaya tersebut. Sekitar $81 juta masih berhasil dicuri. Serangan siber tunggal itu membuktikan bahwa Lazarus dapat merampok lembaga keuangan hanya dengan menggunakan keyboard, dan hal itu mengubah kejahatan siber yang dikelola negara menjadi pusat keuntungan yang nyata.
Kemudian muncul WannaCry pada tahun 2017, sebuah worm ransomware yang membekukan ratusan ribu mesin di sekitar 150 negara dan melumpuhkan rumah sakit di Inggris. Serangan itu ceroboh dan hampir tidak menghasilkan apa pun. Tetapi serangan itu menunjukkan jangkauannya. Jadi, pada saat kripto berkembang, Lazarus sudah memiliki pengalaman selama satu dekade memindahkan uang yang seharusnya tidak boleh disentuhnya.
Mengapa Peretas Korea Utara Menargetkan Kripto?
Bagi rezim yang terputus dari sistem perbankan global, mata uang kripto hampir terlalu mudah diakses. Sanksi dapat membekukan rekening bank dan memblokir transfer SWIFT, tetapi tidak ada yang dapat menghentikan dompet untuk menerima dana. Kripto berpindah lintas batas dalam hitungan menit, diselesaikan secara permanen, dan dapat diproses melalui alat yang dirancang untuk memutus jejak.
Jadi Korea Utara mengubah strategi. Mengapa mengambil risiko perampokan bank yang dapat dibatalkan hanya dengan satu panggilan telepon, sementara eksploitasi jembatan (bridge exploit) menghasilkan sepuluh kali lipat lebih banyak dan tidak dapat ditarik kembali? Ekonominya timpang dan menguntungkan penyerang. Transfer SWIFT yang gagal dibekukan dan dikembalikan; pengurasan jembatan yang berhasil bersifat final saat blok dikonfirmasi. Tidak ada pihak lawan yang dapat dihubungi, tidak ada penarikan kembali dana (chargeback), tidak ada pengadilan yang memiliki yurisdiksi atas dompet kripto. Para penyelidik dan PBB sekarang memperkirakan bahwa dana kripto curian menyumbang sebagian besar pendapatan devisa negara dan sebagian besar program persenjataannya, meskipun persentase pastinya berasal dari penilaian intelijen dan bukan dari catatan publik.
Perampokan Kripto Terbesar oleh Lazarus Group
Angka-angka itu sudah lama tidak lagi terdengar seperti kejahatan. Angka-angka itu lebih mirip anggaran negara. Pencurian terbesar, peretasan Bybit, lebih besar daripada gabungan beberapa pencurian berikutnya dan lebih besar daripada perampokan bank non-kripto mana pun dalam sejarah.
| Perampokan | Tanggal | Jumlah | Metode |
|---|---|---|---|
| Bybit | Februari 2025 | ~$1,5 miliar | Antarmuka penandatanganan multisig yang dimanipulasi |
| Jembatan Ronin (Axie) | Maret 2022 | ~$625 juta | Kunci privat validator dicuri |
| DMM Bitcoin | Mei 2024 | ~$308 juta | Perekrut palsu, karyawan yang dirugikan |
| WazirX | Juli 2024 | ~$235 juta | Pelanggaran infrastruktur dompet |
| Horizon Harmoni | Juni 2022 | ~$100 juta | Kunci jembatan yang disalahgunakan |
| Dompet Atom | Juni 2023 | >$100 juta | Pembaruan perangkat lunak berbahaya |
Jika diperhatikan dengan saksama, titik lemah yang sama terus muncul kembali. Pencurian Ronin berhasil karena penyerang mendapatkan kendali atas lima dari sembilan kunci validator yang mengamankan jembatan, cukup untuk menyetujui penarikan mereka sendiri, setelah mengkompromikan seorang insinyur senior. Bybit lebih halus: alih-alih merusak dompet dingin , penyerang merusak antarmuka yang dilihat oleh penandatangan, sehingga tim menyetujui transfer yang tampak rutin padahal sebenarnya tidak. Dalam kedua kasus tersebut, kriptografi tetap berfungsi. Manusia dan perangkat lunak di sekitarnya tidak.
Jumlahnya bervariasi tergantung sumber karena biasanya dipatok pada harga token pada hari itu, dan Lazarus cenderung mencuri aset yang volatil seperti ether. Angka Ronin berkisar antara $540 juta hingga $625 juta tergantung siapa yang menghitungnya, dan Bybit dikutip berkisar antara $1,4 hingga $1,5 miliar. Pola di baliknya konsisten: targetkan jembatan penghubung , bursa mata uang kripto, dan perangkat lunak dompet, titik-titik rawan di mana satu kegagalan saja dapat melepaskan kekayaan yang sangat besar.
Bagaimana Peretasan Lazarus Group Terungkap
Inilah bagian yang mengejutkan orang. Pencurian yang memecahkan rekor ini jarang dimulai dengan suatu aksi eksotis yang tak terhentikan. Semuanya dimulai dengan seseorang yang tertipu. Bagian yang cerdas dan tak dapat diubah terjadi setelahnya, ketika uang tersebut harus dihilangkan.
Cara masuknya: lowongan kerja palsu dan phishing.
Lazarus itu sabar dan pandai bergaul. Taktik lamanya, yang sering disebut Operasi Pekerjaan Impian, adalah berpura-pura menjadi perekrut di LinkedIn atau di komunitas pengembang dan menawarkan peran impian di perusahaan yang terdengar nyata. Di tengah wawancara, sebuah "tes coding" atau PDF akan muncul, dan membukanya akan menginstal malware. Pencurian Bitcoin DMM diyakini berawal persis dengan cara ini, dengan seorang perekrut palsu yang membahayakan seorang karyawan di perusahaan yang terhubung. Pendekatan yang sama telah ditujukan kepada para pengembang di seluruh industri melalui paket npm dan repositori GitHub yang dipasangi jebakan dan disamarkan sebagai contoh pekerjaan yang sah. Tidak ada firewall yang dapat menghentikan seorang insinyur yang diberi tahu bahwa file tersebut adalah tugas pekerjaan, dan itulah sebabnya rekayasa sosial, bukan eksploitasi yang tidak dapat dipecahkan, yang membuka sebagian besar pintu ini.
Pekerja IT palsu di dalam gedung
Trik yang lebih baru bahkan lebih berani: alih-alih membobol sistem, Korea Utara melamar pekerjaan. Ribuan pekerja IT-nya menyamar sebagai pengembang jarak jauh, menggunakan identitas Amerika yang dicuri dan pusat laptop yang dijalankan oleh fasilitator lokal, sehingga pekerja tersebut tampak seperti masuk dari Texas, bukan dari Pyongyang. Setelah dipekerjakan di perusahaan teknologi dan kripto Barat, mereka menyalurkan gaji mereka ke rumah dan terkadang menanam akses untuk pencurian di kemudian hari. Departemen Kehakiman AS telah menindak kedua ujung skema ini, termasuk kasus pada Desember 2024 yang mendakwa empat belas warga Korea Utara dan tindakan pada tahun 2025 terhadap fasilitator yang berbasis di AS yang menampung laptop tersebut. Ini adalah spionase yang disamarkan sebagai entri penggajian.
Mencairkan dana: mixer dan bridge
Mencuri kripto hanyalah setengah dari pekerjaan; setengahnya lagi lebih sulit, yaitu membelanjakannya. Lazarus menjalankan dana curian melalui mixer seperti Tornado Cash, yang dikenai sanksi oleh AS pada tahun 2022, dan Sinbad, yang dikenai sanksi pada akhir tahun 2023, kemudian memindahkan uang tersebut melintasi blockchain melalui jembatan dan pertukaran antar aset untuk mengaburkan jejak sebelum mencairkannya melalui bursa dengan pengawasan yang lemah. Prosesnya cepat dan otomatis; setelah Bybit, para penyelidik mengamati dana tersebut tersebar melalui ratusan dompet dalam hitungan jam. Ini adalah pencucian uang skala industri, dan cukup sering berhasil sehingga rezim terus melakukannya.
Seberapa Banyak Uang yang Telah Dicuri oleh Lazarus Group?
Jika dilihat secara keseluruhan, angka-angka tersebut sulit untuk dipahami. Menurut Chainalysis , peretas yang terkait dengan Korea Utara mencuri sekitar $2,02 miliar dalam bentuk kripto selama tahun 2025, peningkatan 51 persen dibandingkan tahun sebelumnya, sehingga total kerugian sepanjang masa melampaui $6,75 miliar. Pada tahun 2025, negara tersebut menyumbang sekitar 76 persen dari total nilai yang dicuri dari layanan kripto di seluruh dunia. Satu negara, tiga perempat dari kerugian tersebut.
| Periode | Dicuri (kripto) | Sumber |
|---|---|---|
| 2024 (dikonfirmasi oleh pemerintah) | ~$659 juta | Pernyataan bersama AS/Jepang/Korea Selatan |
| 2024 (penjelasan lengkap) | ~$1,19 miliar | Chainalysis / Mandiant |
| Tahun 2025 | ~$2,02 miliar | Analisis Rantai |
| Sepanjang masa (batas bawah) | ~$6,75 miliar | Analisis Rantai |
Angka tahun 2024 berbeda karena mengukur hal yang berbeda: pemerintah mengkonfirmasi sejumlah kecil perampokan spesifik, sementara perusahaan analitik mengaitkan lebih banyak melalui pelacakan on-chain. Bagaimanapun, trennya menunjukkan peningkatan. Tinjauan Panel Pakar PBB menghitung sekitar 58 dugaan serangan kripto Korea Utara senilai sekitar $3 miliar antara tahun 2017 dan 2023, sebelum rekor tahun 2024 dan 2025 bahkan ditetapkan. Badan yang sama melaporkan bahwa uang ini membantu mendanai program senjata Korea Utara, sebuah klaim yang diambil dari intelijen negara anggota daripada laporan keuangan yang diaudit, tetapi klaim tersebut membingkai ulang setiap pelanggaran bursa sebagai sesuatu yang lebih dekat dengan peristiwa geopolitik.
Sanksi, Dakwaan, dan Tanggapannya
Jadi, apa yang sebenarnya bisa dilakukan siapa pun? Sebutkan nama mereka, berikan sanksi kepada mereka, dakwa mereka. Tangkap mereka, hampir tidak pernah, karena mereka berada di Pyongyang.
Jejak dokumennya sudah sangat panjang. Departemen Keuangan memasukkan Lazarus ke daftar hitam pada tahun 2019, kemudian mengejar perusahaan-perusahaan yang bergantung padanya, Tornado Cash dan Sinbad. Jaksa penuntut juga ikut menekan, mendakwa peretas yang disebutkan namanya sejak tahun 2021 dan, baru-baru ini, orang-orang yang menjalankan jalur perekrutan pekerja IT palsu. Semoga berhasil dalam menjalankan surat perintah penangkapan tersebut.
Mendapatkan kembali uang itu bahkan lebih jarang terjadi. Setelah pencurian Ronin, para penyelidik berhasil mendapatkan kembali sebagian dana dengan bantuan FBI dan Chainalysis. Sebagian kecil. Sisanya hilang. Dan sanksi cenderung hanya menggeser masalah ke sana kemari: masukkan Tornado Cash ke daftar hitam dan uang itu mengalir ke Sinbad; serang Sinbad dan kelompok itu akan mencari korban berikutnya. Setiap langkah membuat pencairan uang menjadi lebih mahal dan lebih buruk. Semua itu tidak menghentikan pencurian di sumbernya. Anda tidak dapat mengekstradisi pemerintah.
Bisakah Grup Lazarus Dihentikan?
Sejujurnya, bukan hanya dengan sanksi saja. Pertahanan yang penting terjadi sebelum pelanggaran, dan itu menjadi tanggung jawab bursa dan pengguna, bukan jaksa. Itu berarti persetujuan yang diberlakukan secara perangkat keras pada transfer besar, memperlakukan perekrut yang tidak diminta sebagai ancaman daripada peluang, dan menolak membiarkan satu laptop yang diretas menandatangani pengalihan dana. Itu juga berarti memverifikasi apa yang sebenarnya Anda tandatangani daripada mempercayai layar, celah persis yang merugikan Bybit lebih dari satu miliar dolar. Asimetri ini sangat brutal: pihak pembela harus selalu benar, sementara Lazarus hanya membutuhkan satu insinyur untuk membuka satu file. Tujuan realistisnya bukanlah untuk melenyapkan kelompok tersebut, tetapi untuk membuat setiap pencurian lebih lambat, lebih kecil, dan lebih sulit untuk dicuci, sehingga pembukaan dana miliaran dolar berikutnya tidak akan ada lagi.
Mengapa Lazarus Group Penting bagi Kripto
Lazarus mengambil fitur-fitur yang paling dibanggakan oleh kripto, yaitu tanpa batas dan tidak dapat dibatalkan, dan mengubahnya menjadi alat pendanaan negara. Itulah pelajaran yang tidak menyenangkan di sini: desain yang sama yang membebaskan uang dari bank juga membebaskannya dari pemulihan. Keamanan kripto bukan lagi hanya masalah pribadi tentang kunci Anda sendiri; itu telah menjadi pertanyaan tentang keamanan nasional bagi beberapa negara sekaligus. Setiap jembatan yang tidak diaudit dan setiap bursa dengan kontrol yang longgar adalah potensi item anggaran dalam anggaran rudal. Pertanyaan yang patut direnungkan adalah bagaimana sistem keuangan yang terbuka dan tanpa izin mempertahankan dirinya terhadap lawan yang sabar dan didanai dengan baik yang memperlakukan pencurian skala besar sebagai masalah kebijakan luar negeri.
