Peretasan oleh peretas Korea Utara meningkat sebesar 51%! Siklus pencucian uang 45 hari, total mencuri 67,5 miliar dolar AS

North Korea hacker 2025 tahun mencuri 20,2 miliar dolar AS kripto (naik 51%), total mencapai 67,5 miliar dolar AS. Jumlah serangan menurun 74% tetapi skala melonjak, CEX 1,5 miliar menyumbang hampir setengah dari total tahunan. Lebih menyukai layanan pencucian uang berbahasa Mandarin (naik 355%), jembatan lintas rantai dan protokol pencampuran uang, siklus pencucian uang sekitar 45 hari yang dilakukan dalam tiga tahap.

Jumlah serangan hacker Korea Utara berkurang 74%, pencurian justru meningkat 51%

Tahun 2025, hacker Korea Utara mencatat rekor pencurian kripto, mencuri setidaknya 20,2 miliar dolar AS, meningkat 6,81 miliar dolar dari tahun 2024, pertumbuhan tahunan 51%. Ini adalah tahun terburuk dalam catatan pencurian kripto Korea Utara, serangan yang diprakarsai Korea Utara menyumbang 76% dari total jumlah uang yang dicuri dari semua insiden peretasan, mencatat rekor tertinggi. Secara keseluruhan, total akumulasi pencurian kripto Korea Utara diperkirakan minimal mencapai 67,5 miliar dolar AS.

Lebih mengejutkan lagi, kerugian rekor ini berasal dari penurunan besar dalam jumlah insiden serangan yang diketahui. Hacker Korea Utara mencuri lebih banyak kripto dengan jumlah serangan yang lebih sedikit, jumlah serangan berkurang sekitar 74%, tetapi skala per serangan rata-rata melonjak. Perubahan ini mencerminkan dampak dari insiden serangan besar-besaran di Bybit pada Februari 2025, yang merugikan hingga 1,5 miliar dolar AS, menyumbang 74% dari total pencurian Korea Utara tahun itu.

Tiga serangan terbesar menyumbang 69% dari total kerugian, dengan nilai ekstrem mencapai 1.000 kali lipat dari median. Pada tahun 2025, dana yang dicuri dalam serangan terbesar adalah 1.000 kali lipat dari dana yang dicuri dalam insiden biasa, bahkan melebihi puncak pasar bullish tahun 2021. Kesenjangan yang semakin melebar ini menyebabkan kerugian sangat terkonsentrasi, di mana satu insiden memiliki dampak yang sangat signifikan terhadap total kerugian tahunan.

Hacker Korea Utara semakin sering memasang personel TI ke dalam layanan kripto untuk mendapatkan akses istimewa dan melakukan serangan besar. Insiden serangan rekor tahun ini mungkin mencerminkan ketergantungan Korea Utara yang lebih besar pada personel TI dalam platform perdagangan, lembaga kustodian, dan perusahaan Web3, yang dapat mempercepat akses awal dan pergerakan lateral, menciptakan kondisi untuk pencurian besar-besaran.

Namun, organisasi hacker terkait Korea Utara baru-baru ini benar-benar membalik pola kerja para pekerja TI ini. Mereka tidak lagi sekadar melamar posisi dan menyusup sebagai karyawan, tetapi semakin sering menyamar sebagai perekrut dari perusahaan Web3 dan AI terkenal, merancang proses perekrutan palsu secara cermat, dan akhirnya menggunakan “penyaringan teknis” sebagai kedok untuk mendapatkan kredensial login korban, kode sumber, serta akses VPN atau Single Sign-On (SSO) dari majikan mereka saat ini.

Proses pencucian uang 3 tahap selama 45 hari dan preferensi layanan berbahasa Mandarin

Analisis aktivitas di blockchain terkait insiden hacker yang dikaitkan dengan Korea Utara dari tahun 2022 hingga 2025 menunjukkan bahwa dana yang dicuri mengikuti jalur pencucian uang yang terstruktur dan multi-tahap, berlangsung sekitar 45 hari. Pola ini selama bertahun-tahun menunjukkan bahwa hacker Korea Utara menghadapi batasan operasional, yang mungkin terkait dengan terbatasnya akses mereka ke infrastruktur keuangan dan kebutuhan untuk berkoordinasi dengan perantara tertentu.

Proses pencucian uang 3 tahap selama 45 hari oleh hacker Korea Utara

Hari 0-5 (Segregasi langsung): Volume likuiditas DeFi meningkat 370%, layanan pencampuran uang meningkat 135-150%, garis batas antara kegiatan darurat dan pencurian

Hari 6-10 (Integrasi awal): Platform tanpa KYC meningkat 37%, CEX meningkat 32%, jembatan lintas rantai meningkat 141%, aliran dana ke saluran keluar

Hari 20-45 (Integrasi ekor panjang): Platform tanpa KYC meningkat 82%, layanan garansi meningkat 87%, platform berbahasa Mandarin meningkat 45%, menyelesaikan pertukaran fiat

Dibandingkan dengan hacker lain, Korea Utara menunjukkan preferensi yang jelas dalam beberapa aspek pencucian uang. Mereka cenderung memanfaatkan transfer dana berbahasa Mandarin dan layanan garansi (naik 355% hingga lebih dari 1000%), yang menjadi ciri khas utama, sangat bergantung pada layanan garansi berbahasa Mandarin dan jaringan pencucian uang yang terdiri dari banyak operator yang mungkin memiliki kontrol kepatuhan yang lemah. Penggunaan layanan jembatan lintas rantai meningkat 97%, sangat bergantung pada jembatan lintas rantai untuk memindahkan aset antar blockchain, berusaha meningkatkan kesulitan pelacakan. Penggunaan layanan pencampuran uang meningkat 100%, lebih banyak menggunakan layanan ini untuk mencoba menyembunyikan aliran dana.

Sebaliknya, hacker Korea Utara secara jelas menghindari penggunaan protokol pinjaman (penurunan 80%), platform tanpa KYC (-75%, secara mengejutkan lebih rendah dari hacker lain), platform P2P (-64%), dan DEX (-42%). Pola ini menunjukkan bahwa operasi mereka dipengaruhi oleh batasan dan tujuan yang berbeda dari jaringan kriminal non-negara. Mereka secara besar-besaran menggunakan layanan pencucian uang berbahasa Mandarin dan pelaku pasar OTC, menunjukkan hubungan erat antara hacker Korea Utara dan pelaku ilegal di kawasan Asia Pasifik.

Jendela operasi pencucian uang yang biasanya berlangsung selama 45 hari ini memberikan intelijen penting bagi penegak hukum dan tim kepatuhan. Memahami kerangka waktu dan pola tahapan ini dapat membantu bursa dan perusahaan keamanan dalam melakukan pembekuan dan pemulihan dana sebelum uang tersebut sepenuhnya dicuci.