Akhir Maret, saya mendapat pesan yang mengkhawatirkan dari admin IT Fortune. "Ada proses yang membuka celah keamanan," tulisnya, bilang ke saya bahwa mungkin ada orang yang mengintai di sekitar komputer saya. "Saya harus mematikannya." Saya panik. File yang saya unduh jam 11.04 pagi itu punya kemampuan untuk memantau ketikan keyboard saya, merekam layar komputer, melihat kata sandi saya, dan mengakses aplikasi saya, menurut log yang kemudian diperiksa oleh departemen IT Fortune.
Setelah mematikan laptop, saya buru-buru keluar dari apartemen di Brooklyn dan lari ke stasiun kereta bawah tanah terdekat. Sambil menunggu kereta ke kantor Fortune, di mana saya rencana hapus laptop dengan bantuan IT, saya kirim pesan ke editor saya: “Kayaknya saya kena phising sama DPRK lol.”
Saya pernah melaporkan tentang Republik Rakyat Demokratik Korea dan tahu negara itu suka menarget investor Amerika. Tapi saya tidak pernah menyangka peretas terkenal jahatnya akan mengejar saya—dan mengajari saya pelajaran langsung tentang kedalaman tipu daya mereka.
‘Perasaan scam’
Kerajaan Hermit telah menyiksa industri kripto selama bertahun-tahun. Terputus dari sistem keuangan global karena sanksi, negara itu menggunakan pencurian kripto yang didukung negara untuk bantu bayar tagihan. Pada tahun 2025 saja, peretas yang dikaitkan dengan tentara Korea Utara mengumpulkan $2 miliar kripto curian, sekitar 50% lebih banyak dari tahun sebelumnya, menurut data dari perusahaan analitik kripto Chainalysis.
Republik Rakyat Demokratik Korea telah mengembangkan strategi yang teruji untuk menipu korbannya. Ini termasuk meyakinkan perusahaan untuk mempekerjakan mereka sebagai pekerja IT—dan teknik yang digunakan untuk menipu saya.
Orang Korea Utara memasang jebakan mereka pertengahan Maret. Umpannya datang dalam bentuk pesan dari seorang investor dana lindung nilai yang dikirim lewat Telegram, aplikasi pesan pilihan industri kripto. Investor itu, yang saya tidak sebut namanya karena dia adalah sumber anonim untuk tulisan saya sebelumnya, tanya apakah saya mau ketemu seseorang bernama Adam Swick, yang pernah menjadi kepala strategi di perusahaan penambang Bitcoin MARA Holdings.
Saya balas iya—sumber saya biasanya ramah dan membantu—dan saya dimasukkan ke grup chat. Sumber saya bilang Swick sedang menjelajahi pembuatan treasury aset digital baru dan “punya calon investor awal yang besar.”
Usahanya terdengar meragukan. Tapi, saya mau setidaknya dengarkan apa yang Swick katakan. Di Telegram, dia minta saya buat janji panggilan dengannya, dan satu minggu kemudian, sumber dana lindung nilai saya kirimi saya tautan yang terlihat seperti link Zoom. Saya mengkliknya.
Program yang terbuka terlihat seperti Zoom yang saya pakai setiap hari, walaupun desainnya agak aneh dan audionya tidak berfungsi. Saya disuruh memperbarui perangkat lunak untuk memperbaiki masalah suara, dan, pada saat yang sama, Swick menulis ke saya: “Sepertinya Zoom bermasalah di pihak kamu.” Saya klik untuk mengunduh pembaruan itu.
Adrenalin saya langsung naik ketika lihat tautan di browser saya tidak sama dengan yang dikirim ke saya di Telegram, dan saya minta pindah rapat ke Google Meet, layanan konferensi video lain. “Ini bikin saya merasa seperti scam,” saya tulis ke Swick dan sumber saya, si investor dana lindung nilai.
Swick tetap bersikeras. “Jangan khawatir. Saya baru coba di PC saya.”
Saya tidak coba jalankan skrip itu di MacBook saya dan memutuskan untuk kabur dari rapat Zoom. “Kalau mau bicara dengan saya, mari kita lakukan lewat Google Meet,” saya tulis di Telegram. Sumber saya segera keluarkan saya dari grup chat.
Peretas yang viral
Saat saya buru-buru keluar dari apartemen untuk ke IT, saya kirim pesan ke Taylor Monahan, seorang peneliti keamanan berpengalaman. Dia anggota SEAL 911, sekelompok relawan yang membantu korban yang ditarget dalam peretasan kripto. Saya kirimkan dia skrip yang saya unduh dan tautan konferensi video yang saya terima.
“Itu DPRK,” dia balas pesan saya sesaat kemudian.
Kalau saya jalankan skrip itu, peretas akan curi kata sandi saya, akun Telegram saya, dan semua kripto yang saya punya. (Saya, untungnya, cuma punya sedikit Bitcoin dan beberapa kripto lain.)
Sifat peretasan berarti jarang bisa 100% yakin siapa dalangnya, tapi, dalam kasus saya yang nyaris kena ini, Monahan bilang tautannya, skripnya, bahkan akun palsu yang dikaitkan dengan Adam Swick semuanya menunjuk ke Korea Utara. Penyidik pakai kombinasi bukti, termasuk analisis blockchain, untuk kaitkan kejadian dengan Republik Rakyat Demokratik. Dua peneliti keamanan lain yang lacak peretas Korea Utara kemudian dukung penilaiannya waktu saya kirim mereka skrip dan tautan konferensi video.
“Bilang ke dia Tay bilang hai lol,” kata Monahan, merujuk pada orang Korea Utara yang mengejar saya.
Monahan dan peneliti keamanan lain telah tanggapi ratusan kasus di industri kripto yang melibatkan panggilan konferensi video palsu. Skemanya seperti formulir tapi efektif.
Peretas ambil alih akun Telegram orang sungguhan lalu hubungi kontaknya. Kontak-kontak itu diminta untuk masuk ke panggilan video, di mana, selalu saja, audionya tidak bekerja. Korban diminta jalankan pembaruan untuk perbaiki masalah suara. Saat mereka jalankan skrip itu, peretas dapat akses ke kripto korban, kata sandi—dan akun Telegram. Bahkan, grup orang Korea Utara yang sama yang target saya ada di balik peretasan yang dirancang untuk eksploitasi pengembang perangkat lunak secara luas, kata Google dalam laporan yang diterbitkan Rabu.
Saya bukan investor Bitcoin yang nyetir Lamborghini, tapi Korea Utara tidak cuma target orang kaya, kata Monahan ke saya. Dia lihat peretas kejar semakin banyak jurnalis kripto, mungkin karena akun Telegram mereka punya banyak kontak penting. Beberapa kontak ini, kemungkinan besar, punya banyak kekayaan kripto.
Seperti virus yang bajak sel sehat, peretas rusak akun-akun yang baru dikompromikan ini dan target kontak penggunanya. Begitulah cara saya hampir terinfeksi.
Saya awalnya merasa aman karena kira saya sedang bicara dengan orang yang saya kenal.
**’Saya palsu’**
Setelah saya hapus semua data di laptop, ganti kata sandi, dan berterima kasih banyak ke administrator IT Fortune, akhirnya saya hubungi sumber saya lewat telepon. Tidak mengejutkan, akun Telegramnya diretas awal Maret. “Saya punya banyak kontak di Telegram yang tidak tersimpan di ponsel atau komputer saya,” katanya. “Tapi bagi saya, yang lebih dari itu, kamu merasa dilanggar mengetahui ada orang di luar sana yang menyamar jadi kamu, menggunakan namamu untuk menipu orang.”
Dan, walaupun dia sudah hubungi Telegram berkali-kali minta bantuan selama tiga minggu, dia tidak dapat respons. (“Walau Telegram melakukan segalanya untuk melindungi akunnya, tidak mungkin bagi platform manapun untuk melindungi pengguna yang tertipu memberikan detail login kepada pelaku jahat,” kata seorang juru bicara lewat pernyataan, menambahkan bahwa aplikasi membekukan akun investor dana lindung nilai itu setelah saya menghubungi.)
Saya juga hubungi Swick yang asli. Peretas sudah menyamar jadi dia di Telegram sejak awal Februari, dan mantan eksekutif MARA Holdings itu dapat banyak sekali pesan dan telepon yang tanya kenapa dia mau mengatur pertemuan. Dia selalu minta maaf. “Tapi beberapa dari mereka bilang ke saya, ‘Bro, kamu minta maaf untuk apa?'” kata Swick. “Dan saya seperti, ‘Saya tidak tau. Saya minta maaf untuk saya yang palsu, mungkin. Saya sangat menyesal ini terjadi.'”
Swick tidak tahu kenapa peretas menyamar jadi dia, dan sumber saya, investor dana lindung nilai itu, tidak tahu bagaimana akun Telegramnya diretas. Tapi, di akhir telepon kami, saya dan investor itu nemu kemungkinan jawabannya.
Swick palsu adalah salah satu orang terakhir yang diajak bicara investor itu sebelum akun Telegramnya diretas. “Saya ikut Zoom dengannya dan audionya tidak bisa tersambung,” kata sumber saya. “Saya agak ingat mencoba mengunduh sesuatu.”
Artinya, sumber saya kemungkinan ditarget oleh peretas yang sama yang menyerang saya. Setelah kami sadar laptopnya mungkin sudah rusak, investor dana lindung nilai itu tutup telepon dan hapus data komputernya.
Saya hubungi Adam Swick palsu itu di Telegram. “Apakah akun ini dikendalikan oleh orang yang berafiliasi dengan DPRK?” tulis saya.
Saya masih belum dapat balasan.