Lazarus Group: Dalang di Balik Pembobolan Kripto Bybit Senilai Rp23 Triliun

Lazarus Group, sebuah nama yang tak asing lagi di dunia peretasan, telah menciptakan gelombang kecemasan di kalangan industri kripto. Kelompok ini berhasil mencuri aset bernilai miliaran dolar, dan dukungan dari pemerintah Korea Utara membuat mereka semakin berbahaya. Mereka dikenal tidak hanya karena kepiawaian dalam peretasan, tetapi juga karena kemampuan mereka untuk menembus sistem keamanan yang dianggap paling canggih sekalipun.

Pada 21 Februari 2024, Lazarus Group kembali membuat berita dengan mencuri aset senilai US$1,4 miliar (sekitar Rp 23 triliun) dari bursa perdagangan kripto terkenal, Bybit. Penyelidikan yang dilakukan oleh analis blockchain terkenal, ZachXBT, menunjukkan bahwa insiden ini terkait dengan tindakan pencurian sebelumnya yang melibatkan Phemex, di mana mereka berhasil mengambil US$85 juta.

Investigasi lebih lanjut mengaitkan Lazarus dengan peretasan di platform lain seperti BingX dan Poloniex, yang memperkuat spekulasi tentang keterlibatan Korea Utara dalam kejahatan siber global.

Sejak 2017, Lazarus Group diperkirakan telah merampok sekitar US$6 miliar dari industri kripto. Menariknya, laporan dari Dewan Keamanan Perserikatan Bangsa-Bangsa mengindikasikan bahwa hasil kejahatan ini tidak lain adalah dana untuk mendanai program senjata Korea Utara, menunjukkan betapa seriusnya ancaman ini tidak hanya bagi industri mata uang digital tetapi juga bagi stabilitas global.

Siapa Sebenarnya Lazarus Group?

Sumber utama yang bertanggung jawab atas Lazarus Group adalah Biro Umum Pengintaian Korea Utara (Reconnaissance General Bureau/RGB), yang merupakan badan intelijen teratas di negara tersebut. Departemen Keuangan AS mengidentifikasi berbagai individu kunci yang terlibat dalam kelompok ini, antara lain:

1. Park Jin Hyok – Terlibat dalam peretasan Sony Pictures pada 2014 dan mencuri US$81 juta dari Bank Bangladesh pada 2016.

2. Jon Chang Hyok – Menciptakan aplikasi kripto berbahaya yang dirancang untuk menyusup ke bursa dan institusi keuangan.

3. Kim Il – Memimpin dalam penyebaran malware dan merancang skema penipuan yang mengakibatkan kehilangan aset kripto yang substansial.

Metode yang mereka gunakan untuk melakukan peretasan sangat canggih, termasuk penyebaran malware yang dirancang untuk mencuri kredensial dan penggunaan layanan proxy untuk menyembunyikan alamat IP mereka.

Bagaimana Serangan Terhadap Bybit Terjadi?

Serangan terhadap Bybit dimulai pada 15 Februari 2024, hanya tiga hari setelah pernyataan bersama dari AS, Korea Selatan, dan Jepang mengenai komitmen mereka untuk denuklirisasi Korea Utara. Metode yang digunakan oleh Lazarus Group adalah pengelabuan tingkat tinggi melalui phishing, di mana mereka berhasil mendapatkan persetujuan sistem keamanan Bybit untuk mentransfer 401.000 Ether, yang setara dengan US$1,4 miliar, ke dompet mereka.

Penerapan teknik penipuan tersebut melibatkan pembuatan versi tiruan dari sistem manajemen dompet Bybit, yang memungkinkan mereka untuk mengeksploitasi keamanan yang dilindungi. Setelah mendapatkan akses, dan aset berhasil dicuri, Lazarus segera memulai proses pencucian uang yang rumit. Mereka menggunakan berbagai dompet perantara dan memanfaatkan layanan tanpa verifikasi KYC, sehingga menyulitkan otoritas untuk melacak sumber dana yang diambil dari bursa.

Teknik Pencucian Uang yang Digunakan 

Menurut laporan dari Chainalysis, sebagian dana hasil peretasan Bybit dialihkan menjadi Bitcoin dan Dai melalui berbagai cara, termasuk bursa terdesentralisasi (DEX) dan jembatan lintas rantai (cross-chain bridges). Lazarus Group dikenal sering mengubah dana curian ke Bitcoin karena model transaksi UTXO yang lebih sulit dilacak dibandingkan sistem berbasis akun seperti yang ada di Ethereum. Ini juga termasuk pemanfaatan layanan mixing yang semakin memperumit proses pelacakan aset.

Taktik Social Engineering Lazarus

Hingga awal tahun 2024, Lazarus Group telah meluncurkan 47 serangan yang berhasil, dengan total pencurian mencapai US$1,34 miliar, melonjak dari US$660,5 juta pada tahun sebelumnya. Sekitar 43,8% dari serangan tersebut berasal dari kompromi terhadap kunci privat, yang merupakan sektor vital bagi keamanan dompet kripto.

Di samping serangan siber besar, Lazarus juga menjalankan berbagai skema penipuan jangka panjang. Mereka pun menyamar sebagai perekrut atau investor untuk menipu korban dengan menawarkan wawancara kerja palsu. Lebih dari itu, mereka menggunakan profil palsu berbasis AI untuk bekerja di perusahaan teknologi global dan mencuri informasi sensitif dari para pekerja. 

Temuan dari ZachXBT pada bulan Agustus 2024 mengungkapkan bahwa jaringan 21 pengembang asal Korea Utara mendapatkan US$500.000 per bulan dari industri kripto. Di penghujung tahun yang sama, pengadilan federal di St. Louis mendakwah 14 orang warga Korea Utara dengan tuduhan pencucian uang dan penipuan identitas, dengan total dana yang terlibat mencapai US$88 juta selama enam tahun terakhir.

Lazarus Group menjadi ancaman yang kompleks dan berbahaya bagi industri kripto global dengan teknik peretasan yang terus berkembang, social engineering yang cerdas, serta metode pencucian uang yang sulit dilacak. Dalam menghadapi ancaman seperti ini, baik bursa kripto maupun pengguna sebaiknya meningkatkan langkah-langkah keamanan mereka. Kolaborasi antara penegak hukum dan perusahaan blockchain menjadi kunci dalam melawan serangan yang terus menerus mengincar platform perdagangan aset digital.