Departemen Keadilan AS pada Senin lalu mengumumkan tindakan keras terhadap skema penipuan pekerja IT Korea Utara. Dua dakwaan baru menyebut lebih dari selusin tersangka yang dituduh mencuri jutaan dolar dari setidaknya 100 perusahaan dalam empat tahun terakhir.
Menurut dakwaan pertama dari Distrik Massachusetts, sekelompok pekerja IT Korea Utara diduga bekerja sama dengan orang-orang di New York, New Jersey, California, dan luar negeri untuk mencuri identitas lebih dari 80 orang AS. Mereka mendapat pekerjaan remote di lebih dari 100 perusahaan—banyak yang termasuk Fortune 500—dan mencuri setidaknya $5 juta. Dakwaan kedua menyebut empat pekerja IT Korea Utara diduga pergi ke Uni Emirat Arab, menggunakan identitas curian untuk bekerja remote di perusahaan AS, lalu mencuri mata uang digital untuk mendanai program senjata nuklir Korea Utara.
Dakwaan tersebut menjelaskan bagaimana skema ini berkembang dari menggunakan identitas palsu hingga membuat perusahaan palsu di AS yang didirikan oleh kaki tangan. Perusahaan palsu ini menyembunyikan pekerja IT Korea Utara di balik identitas AS curian dan memberi alamat AS untuk menerima laptop dari perusahaan. Uang hasil penipuan diduga dikirim ke pemimpin Korea Utara untuk mendanai program senjata mereka.
“Korea Utara tetap berusaha mendanai program senjata dengan menipu perusahaan AS dan memanfaatkan korban pencurian identitas, tapi FBI juga berkomitmen untuk menghentikan kampanye besar ini dan menuntut pelakunya,” kata Asisten Direktur FBI Roman Rozhavsky dalam pernyataan.
Pemerintah Korea Utara (DPRK) telah mengirim ribuan pekerja IT terlatih ke seluruh dunia untuk menipu perusahaan agar mempekerjakan mereka secara remote. Setelah bekerja, mereka bertugas menghasilkan uang dan mengumpulkan intelijen untuk peretasan. Skema ini, dikenal sebagai “skema pekerja IT Korea Utara,” telah menarget ratusan perusahaan Fortune 500 dan perusahaan teknologi kecil. PBB memperkirakan skema ini menghasilkan $200 juta hingga $600 juta per tahun.
Menurut dakwaan, pria New Jersey Zhenxing “Danny” Wang mendirikan perusahaan pengembangan perangkat lunak Independent Lab sebagai perusahaan palsu. Melalui Independent Lab, perusahaan mengirim laptop ke Wang yang sebenarnya ditujukan untuk orang dengan identitas curian. Wang diduga menyimpan laptop di rumahnya dan memasang perangkat lunak remote agar pekerja Korea Utara bisa mengaksesnya dari luar negeri. Wang juga menerima uang dari perusahaan AS dan mengirimkannya ke rekening rekan di luar negeri.
Dakwaan menyebut beberapa tersangka menggunakan perusahaan palsu, termasuk orang di New York, California, dan anggota militer AS. Kaki tangan ini diduga menyimpan laptop di rumah mereka dengan bayaran ratusan ribu dolar. Setidaknya empat perusahaan besar dirugikan lebih dari $100.000 per perusahaan. Salah satu kaki tangan, Kejia Wang, diduga tahu pekerja itu mewakili Korea Utara.
Selain Danny Wang, pemerintah juga mendakwa delapan tersangka lain dan menyebut penipuan ini mencakup kontraktor pertahanan di California, di mana seorang pelaku luar negeri mencuri dokumen sensitif terkait teknologi militer AS. Perusahaan lain yang terdampak tersebar di California, Massachusetts, New York, New Jersey, Florida, dan banyak negara bagian lain.
Michael “Barni” Barnhart, investigator risiko di DTEX, mengatakan penangkapan minggu ini mengingatkan bahwa ancaman dari pekerja IT DPRK tidak hanya soal uang. “Setelah masuk, mereka bisa melakukan aktivitas jahat dari jaringan terpercaya, berisiko bagi keamanan nasional dan perusahaan di seluruh dunia,” kata Barnhart.
Barnhart menyarankan perusahaan harus melihat lebih dari portal lamaran biasa dan mengevaluasi kembali proses rekrutmen karena ancaman pekerja IT DPRK terus beradaptasi.
“Skema ini menarget dan mencuri dari perusahaan AS untuk menghindari sanksi dan mendanai program ilegal Korea Utara, termasuk program senjata,” kata John A. Eisenberg, Asisten Jaksa Agung Divisi Keamanan Nasional.
Dakwaan kedua menjelaskan bagaimana empat orang menggunakan identitas curian untuk mendapatkan pekerjaan sebagai developer di perusahaan teknologi di Atlanta dan perusahaan token virtual. Keduanya diduga mencuri crypto senilai hampir $1 juta, lalu melibatkan orang lain untuk mencucui uang sebelum mengirimnya ke Korea Utara.
‘Bukan aku!!!’
Menurut dakwaan kedua, skema ini mulai Oktober 2019 ketika empat pekerja IT Korea Utara pergi ke Uni Emirat Arab dengan dokumen Korea Utara. Mereka menggunakan identitas curian dan foto sendiri untuk terlihat sebagai karyawan sah dan mengakses informasi sensitif di perusahaan. Tujuannya adalah mendapatkan akses ke mata uang virtual perusahaan untuk dikirim ke pemerintah DPRK.
Pada Desember 2020, tersangka Kim Kwang Jim diduga memberi perusahaan ID palsu Portugis dengan foto dirinya tapi identitas korban. Kim menggunakan identitas curian ini untuk bekerja sebagai developer di perusahaan Atlanta. Dakwaan hanya menyebut korban sebagai P.S. dan tidak menyebut nama perusahaan yang mempekerjakan pekerja IT Korea Utara.
Pada Maret 2022, Kim diduga mengubah kode sumber di perusahaan tempatnya bekerja. Perubahannya memengaruhi dua kontrak pintar milik perusahaan di blockchain Ethereum dan Polygon. Kim mengubah aturan penarikan dana dari pool perusahaan.
Pada 29 dan 30 Maret 2022, Kim diduga mengambil 4 juta token Elixir, 229.051 token Matic, dan 110.846 token Start. Totalnya senilai $740.000 saat pencurian. Kim mentransfer mata uang itu ke alamat lain yang dia kontrol.
Kim memberi alasan aneh ke pendiri perusahaan: “hi bro, maaf banget—tx aneh ini mulai terjadi setelah aku refactor github ku.”
Pada 30 Maret, pendiri perusahaan mengirim pesan ke Kim lewat Telegram, menuduhnya mencuri mata uang virtual dari pool perusahaan. Kim, menggunakan akun Telegram dengan identitas P.S. curian, membalas: “Berapa kali aku harus bilang??? Aku nggak ngelakuin!!! Bukan aku!!!”
‘Bryan Cho’
Insiden lain dalam dakwaan dimulai Mei 2021. Tersangka Jong Pong Ju diduga menggunakan alias “Bryan Cho” untuk dapat pekerjaan IT di perusahaan lain.
Setelah dipekerjakan, Jong diduga mengakses mata uang virtual perusahaan. Pada Oktober 2021, Jong menggunakan akun Telegram “Bryan Cho” untuk merekomendasikan “Peter Xiao” sebagai developer hebat. “Peter Xiao” diduga adalah tersangka lain, Chang Nam Il. Pendiri perusahaan mempekerjakan “Peter Xiao” untuk pengembangan front-end. Chang, sebagai Peter Xiao, bekerja di perusahaan dari Oktober 2021 hingga Januari 2022.
Pada Januari 2022, pendiri perusahaan meminta video untuk verifikasi identitas “Bryan Cho” sebelum memberi akses tambahan ke aset kripto perusahaan. Pada 25 Januari, Jong menggunakan SIM Malaysia palsu dengan alias Bryan Cho untuk mengirim video ke pendiri via Telegram. Pendiri kemudian memberi Jong akses tambahan.
Bulan berikutnya, Jong menggunakan akses itu untuk mencuri token senilai 60 Ether ($175.680 saat itu) dan mentransfernya ke alamat lain yang dia kontrol. Jong kemudian mengirim pesan ke pendiri: “Kayaknya aku