Lazarus Group bukan sekadar pemain biasa di dunia peretasan—mereka sering kali menjadi tersangka utama dalam berbagai pencurian besar di industri kripto. Kelompok peretas yang didukung oleh pemerintah Korea Utara ini telah menyedot miliaran dolar dari bursa kripto, menipu para pengembang, dan bahkan mampu melewati sistem keamanan paling canggih di industri.

Pada 21 Februari 2024, mereka kembali mencetak rekor dengan mencuri $1,4 miliar dari bursa kripto Bybit—menjadikannya sebagai salah satu peretasan terbesar sepanjang sejarah kripto. ZachXBT, seorang detektif kripto, mengidentifikasi Lazarus sebagai tersangka utama setelah menemukan keterkaitan antara peretasan Bybit dan pencurian $85 juta di Phemex. Lebih lanjut, ia juga menghubungkan kelompok ini dengan peretasan BingX dan Poloniex, menambah daftar panjang bukti yang mengarah ke tentara siber Korea Utara.

Sejak 2017, Lazarus Group telah mencuri sekitar $6 miliar dari industri kripto, menurut laporan firma keamanan Elliptic. Sebuah studi dari Dewan Keamanan PBB bahkan menyebutkan bahwa dana hasil pencurian ini digunakan untuk membiayai program senjata Korea Utara.

Kelompok ini dikenal sebagai salah satu organisasi kejahatan siber paling produktif dalam sejarah, dengan operasi lintas negara yang sangat canggih. Lalu, siapa sebenarnya di balik Lazarus, bagaimana mereka berhasil mengeksekusi peretasan Bybit, dan apa saja metode lain yang masih menjadi ancaman?

Siapa Sebenarnya Lazarus Group?

Departemen Keuangan AS menyatakan bahwa Lazarus Group dikendalikan oleh Reconnaissance General Bureau (RGB), badan intelijen utama Korea Utara. FBI telah secara terbuka menyebut tiga peretas Korea Utara sebagai anggota Lazarus (juga dikenal sebagai APT38).

Pada September 2018, FBI mendakwa Park Jin Hyok, seorang warga negara Korea Utara dan anggota Lazarus, atas beberapa serangan siber paling terkenal dalam sejarah. Park, yang diduga bekerja untuk Chosun Expo Joint Venture, sebuah perusahaan kedok Korea Utara, terkait dengan:

Peretasan Sony Pictures (2014)

Pencurian $81 juta dari Bank Bangladesh (2016)
Serangan ransomware WannaCry 2.0 (2017), yang melumpuhkan rumah sakit, termasuk sistem Layanan Kesehatan Nasional Inggris (NHS)
Investigasi menghubungkan Park dan rekan-rekannya melalui kode malware yang digunakan bersama, akun penyimpanan kredensial yang dicuri, serta layanan proxy yang menyamarkan alamat IP Korea Utara dan China.

Pada Februari 2021, Departemen Kehakiman AS menambahkan Jon Chang Hyok dan Kim Il ke dalam daftar penjahat siber yang didakwa karena keterlibatan mereka dalam berbagai peretasan global.

• Jon Chang Hyok mengembangkan dan menyebarkan aplikasi kripto berbahaya untuk menyusup ke bursa dan institusi keuangan.
• Kim Il bertanggung jawab atas distribusi malware, koordinasi peretasan terkait kripto, serta proyek penipuan ICO Marine Chain.

Bagaimana Lazarus Menjalankan Peretasan Bybit?

Beberapa minggu sebelum peretasan Bybit, pemimpin Korea Utara Kim Jong Un menginspeksi fasilitas produksi bahan nuklir dan menyerukan ekspansi senjata nuklir di luar rencana yang ada, menurut media pemerintah Korea Utara.

Kemudian, pada 15 Februari, AS, Korea Selatan, dan Jepang mengeluarkan pernyataan bersama yang menegaskan kembali komitmen mereka untuk denuklirisasi Korea Utara. Pyongyang dengan cepat menolak langkah tersebut pada 18 Februari, menyebutnya sebagai "absurd" dan bersumpah untuk memperkuat persenjataan nuklirnya.

Tiga hari kemudian, Lazarus kembali beraksi.

Dalam komunitas keamanan siber, tanda-tanda khas peretasan Lazarus sering kali terdeteksi hanya dalam hitungan menit, bahkan sebelum investigasi resmi dimulai.

“Saya bisa langsung yakin, secara pribadi, hanya dalam beberapa menit setelah ETH mulai keluar dari dompet Bybit, bahwa ini terkait dengan Korea Utara,” kata Fantasy, pemimpin investigasi di firma asuransi kripto Fairside Network, kepada Cointelegraph.

Menurutnya, Lazarus memiliki pola unik dalam aksinya, seperti:

• Membagi aset ERC-20 ke banyak dompet
• Menjual token dengan cara yang tidak optimal hingga merugi besar
• Mengirim ETH dalam jumlah besar ke dompet baru
• Dalam kasus Bybit, Lazarus menjalankan serangan phishing yang sangat canggih, berhasil mengelabui bursa untuk menyetujui transfer 401.000 Ether (ETH) senilai $1,4 miliar ke dompet mereka.

Menurut firma forensik blockchain Chainalysis, peretas Lazarus menyamar dengan membuat versi tiruan dari sistem manajemen dompet Bybit, memungkinkan mereka untuk mendapatkan akses langsung ke aset bursa.

Setelah dana dicuri, mereka mulai mencuci uang dengan cara:

• Menyebarkan dana ke berbagai dompet perantara
• Menukar aset curian ke Bitcoin (BTC) dan Dai (DAI) melalui DEX (decentralized exchanges) dan layanan swap tanpa KYC
• Menggunakan platform seperti eXch, yang menolak membekukan dana meskipun telah mendapat tekanan dari industri
• Banyak dana curian masih tersimpan di berbagai dompet, sebuah strategi umum yang digunakan oleh peretas Korea Utara untuk menghindari pengawasan ketat.

Strategi Penipuan Sosial Lazarus Group

Lazarus semakin agresif dalam serangannya terhadap industri kripto. Sepanjang 2024 saja, mereka telah mencuri $1,34 miliar dari 47 serangan—lebih dari dua kali lipat dibandingkan $660,5 juta pada 2023, menurut Chainalysis.

Metode yang paling sering digunakan adalah kompromi kunci pribadi (private key compromise), yang bertanggung jawab atas 43,8% dari semua peretasan kripto di 2024. Teknik ini digunakan dalam beberapa kasus terbesar, seperti:

Peretasan DMM Bitcoin ($305 juta)

Peretasan Ronin ($600 juta)
Namun, selain peretasan besar-besaran, Lazarus juga menjalankan penipuan jangka panjang yang lebih tersembunyi, memastikan aliran dana yang stabil ke Korea Utara.

Menurut Fantasy, “Mereka menargetkan siapa saja, kapan saja, untuk berapa pun jumlah uang. Lazarus memang fokus pada peretasan besar seperti Bybit, Phemex, dan Alphapo, tetapi mereka juga memiliki tim yang menangani penipuan kecil seperti wawancara kerja palsu.”

Firma Microsoft Threat Intelligence mengidentifikasi sebuah kelompok ancaman asal Korea Utara yang mereka sebut “Sapphire Sleet”, yang beroperasi dengan menyamar sebagai VC (venture capitalist) dan rekruter palsu untuk mencuri data keuangan dan dompet kripto.

Bahkan, Korea Utara telah mengirim ribuan pekerja IT ke Rusia, China, dan negara lain, menggunakan profil AI, perangkat pengubah suara, serta identitas palsu untuk mendapatkan pekerjaan bergaji tinggi di sektor teknologi.

Pada Agustus 2024, ZachXBT mengungkap jaringan 21 pengembang Korea Utara yang menghasilkan $500.000 per bulan dengan menyusup ke startup kripto.

Pada Desember 2024, pengadilan federal di St. Louis, AS, mengungkap dakwaan terhadap 14 warga Korea Utara atas pelanggaran sanksi, penipuan, pencucian uang, dan pencurian identitas.