Operatif IT asal Korea Utara dilaporkan mengubah taktik mereka dengan merekrut freelancer internasional untuk menyediakan identitas proxy dalam pekerjaan jarak jauh.
Menurut laporan terbaru, para agen ini menghubungi pencari kerja melalui Upwork, Freelancer, dan GitHub, lalu memindahkan percakapan ke Telegram atau Discord. Di sana, mereka mengarahkan korban untuk menginstal perangkat lunak akses jarak jauh dan membantu mereka melewati proses verifikasi identitas.

Sebelumnya, para pekerja Korea Utara diketahui menggunakan identitas palsu untuk mendapatkan proyek daring. Namun kini, menurut Heiner Garca, pakar intelijen ancaman siber dari Telefnica sekaligus peneliti keamanan blockchain, mereka mulai memanfaatkan akun terverifikasi milik orang lain yang memberikan akses penuh ke komputer mereka.

Dalam skema ini, pemilik identitas asli hanya menerima sekitar 20ri total bayaran, sementara sisanya dialihkan kepada operatif melalui kripto atau rekening bank tradisional. Dengan menggunakan identitas asli dan koneksi internet lokal, mereka bisa menghindari sistem deteksi risiko geografis tinggi atau penggunaan VPN.

Bagaimana Modus Rekrutmen Ini Berjalan

Awal tahun ini, Garca membuat perusahaan kripto palsu dan, bersama tim Cointelegraph, mewawancarai seseorang yang diduga sebagai operatif Korea Utara yang melamar pekerjaan teknis jarak jauh. Calon tersebut mengaku berasal dari Jepang, namun segera menutup panggilan ketika diminta berbicara dalam bahasa Jepang.

Melalui pesan pribadi, pelaku meminta Garca membeli komputer dan memberinya akses jarak jauh. Garca kemudian menemukan pola serupa pada kasus lain: profil palsu, dokumen identitas yang digunakan berulang, serta naskah pelatihan bagi rekrutan.

Menurut log percakapan yang ditinjau Garca, para rekrutan sering bertanya hal dasar seperti Bagaimana kita mendapatkan uang? dan tidak melakukan pekerjaan teknis sama sekali. Mereka hanya memverifikasi akun, menginstal software akses jarak jauh, dan menjaga perangkat tetap online, sementara operatif Korea Utara menggunakan identitas mereka untuk melamar pekerjaan dan berinteraksi dengan klien.

Sebagian besar korban tidak menyadari bahwa mereka bekerja sama dengan agen Korea Utara, meskipun ada juga yang mengetahui dan sengaja terlibat.

Kasus Penangkapan di AS: Laptop Farm dan Pencucian Uang

Pada Agustus 2024, Departemen Kehakiman AS (DOJ) menangkap Matthew Isaac Knoot dari Nashville karena mengoperasikan laptop farm yang memungkinkan pekerja IT Korea Utara tampil sebagai karyawan berbasis di AS menggunakan identitas curian.

Kasus serupa juga terjadi di Arizona, di mana Christina Marie Chapman dijatuhi hukuman lebih dari delapan tahun penjara setelah terbukti membantu operatif Korea Utara menyalurkan lebih dari $17 juta ke negara tersebut.

Menargetkan Freelancer Rentan di Negara Berkembang

Model perekrutan ini menargetkan orang-orang dengan kondisi ekonomi sulit. Garca menemukan dokumen milik individu dari Ukraina, Asia Tenggara, hingga Amerika Serikat dan Eropa, yang menjadi sasaran utama karena memiliki akun terverifikasi dan akses ke proyek bernilai tinggi.

Mereka menargetkan masyarakat berpenghasilan rendah, bahkan penyandang disabilitas, ujar Garca.

Korea Utara diketahui telah lama berusaha menyusup ke industri teknologi dan kripto untuk mengumpulkan dana dan memperluas jaringan mereka di luar negeri. Laporan PBB menuduh bahwa hasil pekerjaan IT ilegal dan pencurian aset kripto digunakan untuk mendanai program rudal dan senjata nuklir negara tersebut.

Menariknya, Garca menemukan bahwa modus ini tidak terbatas pada industri kripto. Dalam salah satu kasus, seorang operatif Korea Utara menggunakan identitas warga AS untuk mengaku sebagai arsitek asal Illinois dan berhasil menyelesaikan proyek desain di Upwork.

Selain lewat kripto, Garca menemukan bahwa mereka juga memanfaatkan jalur keuangan tradisional, menggunakan nama asli korban untuk menerima pembayaran secara sah.
Ini bukan cuma soal kripto, ujarnya. Mereka melakukan apa pun arsitektur, desain, dukungan pelanggan apa saja yang bisa menghasilkan uang.

Mengapa Platform Freelance Sulit Mendeteksi Modus Ini

Meski tim keamanan di platform seperti Upwork semakin waspada terhadap pekerja palsu asal Korea Utara, pelanggaran biasanya baru terdeteksi setelah adanya aktivitas mencurigakan. Begitu akun diblokir, pelaku dengan mudah beralih menggunakan identitas baru.

Dalam satu kasus, setelah akun Upwork dibekukan karena aktivitas berlebihan, operatif meminta korbannya membuat akun baru atas nama anggota keluarga. Pola ini membuat penelusuran dan akuntabilitas menjadi sulit, karena identitas asli yang terdaftar di akun sering kali bukan orang yang sebenarnya bekerja.

Model ini berhasil karena secara teknis semua data terlihat sah: identitas asli, koneksi internet lokal, dan dokumen valid. Namun di balik layar, yang benar-benar mengoperasikan akun adalah agen dari negara lain.

Garca menegaskan bahwa tanda bahaya paling jelas adalah ketika seseorang meminta Anda menginstal perangkat lunak akses jarak jauh atau mengizinkan penggunaan akun terverifikasi Anda.
Proses perekrutan yang sah tidak akan pernah meminta kontrol atas perangkat atau identitas Anda, tegasnya.