Peretasan Drift Senilai $285 Juta, Operasi Rekayasa Sosial DPRK Selama 6 Bulan Terungkap

Peretasan Drift senilai $285 juta yang terjadi pada 1 April 2026 ternyata merupakan puncak dari operasi rekayasa sosial yang direncanakan secara matang selama enam bulan oleh kelompok peretas yang didukung negara Korea Utara (DPRK). Operasi ini dimulai sejak musim gugur 2025 dan berhasil mengekspos kontributor serta aset cloud Drift.

Kelompok Hacker DPRK UNC4736 dan Jejaknya dalam Serangan Ini

Drift, sebuah bursa terdesentralisasi berbasis Solana, mengidentifikasi pelaku sebagai kelompok peretas bernama UNC4736 dengan tingkat keyakinan sedang. Kelompok ini juga dikenal dengan nama AppleJeus, Citrine Sleet, Golden Chollima, dan Gleaming Pisces. UNC4736 memiliki rekam jejak mencuri dana dari sektor cryptocurrency sejak 2018, termasuk serangan rantai pasok X_TRADER/3CX pada 2023 dan peretasan $53 juta terhadap platform DeFi Radiant Capital pada Oktober 2024.

"Dasar hubungan ini berasal dari on-chain (alur dana yang digunakan untuk menguji operasi ini terkait dengan pelaku Radiant) dan operasional (persona yang digunakan memiliki tumpang tindih dengan aktivitas DPRK yang diketahui)," jelas Drift dalam analisisnya.

Menurut laporan The Hacker News, kelompok Golden Chollima adalah cabang Labyrinth Chollima yang fokus mencuri cryptocurrency dengan menyerang perusahaan fintech kecil di AS, Kanada, Korea Selatan, India, dan Eropa Barat. CrowdStrike menilai operasi ini penting bagi pendanaan ambisi militer DPRK, termasuk pembangunan kapal perusak dan kapal selam bertenaga nuklir.

Metode Serangan dan Tahapan Operasi Terstruktur

Drift menjelaskan bahwa serangan ini adalah "operasi intelijen terstruktur" yang membutuhkan waktu berbulan-bulan. Pada musim gugur 2025, pelaku menyamar sebagai perusahaan trading kuantitatif dan membangun hubungan dengan kontributor Drift melalui konferensi cryptocurrency internasional di berbagai negara.

Pelaku menggunakan perantara non-Korea Utara yang mahir secara teknis dan berpengalaman profesional. Mereka membentuk grup Telegram sejak pertemuan pertama dan melakukan diskusi panjang tentang strategi trading dan integrasi vault dalam ekosistem Drift, termasuk menyetor dana lebih dari $1 juta untuk membangun kepercayaan.

Antara Desember 2025 dan Januari 2026, pelaku berhasil mengintegrasikan Ecosystem Vault di Drift, sebuah langkah yang memerlukan pengisian formulir strategi dan interaksi intensif dengan banyak kontributor. Percakapan dan penghapusan jejak digital seperti obrolan Telegram dan software jahat terjadi bertepatan dengan serangan pada 1 April.

Dua Vektor Serangan Utama dan Teknik Malware Canggih

Diduga terdapat dua vektor serangan utama:

1. Seorang kontributor terinfeksi setelah mengkloning repositori kode yang dibagikan kelompok tersebut, yang ternyata memuat proyek Microsoft Visual Studio Code (VS Code) berbahaya. Proyek ini menggunakan file tasks.json untuk menjalankan kode jahat otomatis saat proyek dibuka di IDE.
2. Kontributor lain terjerat untuk mengunduh produk dompet cryptocurrency melalui Apple TestFlight dalam rangka pengujian beta aplikasi.

Teknik ini sudah dipakai kelompok DPRK dalam kampanye Contagious Interview sejak Desember 2025, yang bahkan memaksa Microsoft menerapkan kontrol keamanan baru di VS Code untuk mencegah eksekusi tak disengaja.

"Profil yang digunakan dalam operasi ini lengkap dengan identitas yang dibangun matang, termasuk riwayat pekerjaan dan kredensial profesional yang bisa diverifikasi," ujar Drift.

Ekosistem Malware Terfragmentasi dan Strategi Operasi DPRK

DomainTools Investigations (DTI) mengungkap bahwa ekosistem malware DPRK kini sengaja terfragmentasi secara teknis dan organisasi untuk meningkatkan ketahanan dan menyulitkan penelusuran. Model ini memisahkan peralatan, infrastruktur, dan pola operasi berdasarkan misi, sehingga mengacaukan upaya atribusi dan memperlambat respons pertahanan.

DTI membagi operasi DPRK menjadi tiga jalur utama:

• Track mata-mata yang terkait dengan Kimsuky
• Track pendapatan ilegal yang dipimpin Lazarus Group
• Track ransomware dan malware penghapus data yang terkait Andariel untuk sinyal strategis

Rekayasa Sosial dan Penipuan Karyawan TI sebagai Kunci Serangan

Rekayasa sosial menjadi katalis utama serangan DPRK, termasuk kompromi rantai pasok npm Axios dan kampanye Contagious Interview serta penipuan pekerja TI. Dalam Contagious Interview, target diperdaya mengeksekusi kode jahat dari repositori palsu yang menyisipkan backdoor dan pencuri data.

Penipuan pekerja TI melibatkan perekrutan jarak jauh dengan identitas curian, persona hasil AI, dan kredensial palsu untuk mendapatkan akses ke perusahaan Barat. Para pekerja ini digaji dengan cryptocurrency dan digunakan untuk menyusupkan malware serta mencuri data sensitif.

Skema ini mengandalkan ribuan pekerja teknis berbasis di China dan Rusia yang terkoneksi ke laptop di AS dan negara lain melalui jaringan perusahaan cangkang. Perekrut, fasilitator, dan pelatih membantu mereka mendapatkan pekerjaan dan melewati verifikasi ketat.

Menurut pandangan redaksi, skema ini menunjukkan betapa DPRK tidak hanya mengerahkan warganya sendiri secara sembunyi-sembunyi, tapi juga membangun jaringan multinasional untuk menyusup ke sektor strategis Barat. Hal ini menciptakan tantangan besar bagi keamanan nasional dan industri keuangan global.

Analisis Redaksi

Menurut pandangan redaksi, peretasan Drift ini bukan sekadar pencurian dana besar, melainkan bukti nyata betapa canggih dan terorganisirnya operasi siber DPRK. Metode rekayasa sosial jangka panjang yang melibatkan kehadiran fisik dan persona palsu menunjukkan tingkat keseriusan dan sumber daya besar yang dikerahkan untuk menembus industri kripto.

Keberhasilan operasi ini juga menandai pentingnya kewaspadaan ekstra terhadap serangan berbasis manusia dan social engineering dalam ekosistem blockchain dan fintech. Strategi DPRK yang memanfaatkan jaringan multinasional pengembang dan pekerja TI palsu memperlihatkan pergeseran paradigma ancaman siber yang harus diantisipasi seluruh pelaku industri.

Kedepannya, pemantauan kolaboratif antara perusahaan kripto, badan penegak hukum, dan komunitas keamanan siber akan sangat krusial untuk mencegah serangan serupa. Penguatan keamanan pada rantai pasok perangkat lunak dan peningkatan edukasi tentang taktik rekayasa sosial menjadi langkah strategis yang wajib diambil.

Untuk perkembangan terbaru dan analisis mendalam seputar keamanan siber dan peretasan cryptocurrency, tetap ikuti kami di Google News, Twitter, dan LinkedIn.