Pekerja TI Palsu Korea Utara Beralih ke Pemerasan Data Perusahaan

Pekerja teknologi informasi (TI) Korea Utara yang mendapatkan pekerjaan di perusahaan Barat dengan identitas palsu, tidak hanya mencuri kekayaan intelektual, tetapi kini juga meminta tebusan agar data tersebut tidak bocor. Ini menandai perubahan signifikan dalam taktik keuangan mereka yang sebelumnya hanya berfokus pada pencurian data tanpa memeras.

Menurut laporan dari Secureworks Counter Threat Unit (CTU), beberapa pekerja palsu ini meminta pembayaran tebusan dari mantan perusahaan mereka setelah mendapatkan akses orang dalam. Taktik seperti ini belum pernah terlihat dalam skema sebelumnya. Dalam satu kasus, seorang pekerja kontrak langsung mengekspor data perusahaan hanya beberapa saat setelah mulai bekerja pada pertengahan 2024.

Aktivitas ini mirip dengan kelompok ancaman yang dikenal sebagai Nickel Tapestry, juga disebut Famous Chollima atau UNC5267. Skema pekerja TI palsu ini dirancang untuk mendukung kepentingan strategis dan keuangan Korea Utara, yang bertujuan untuk menyusup ke perusahaan-perusahaan di Barat guna menghasilkan pendapatan ilegal untuk negara yang sedang menghadapi sanksi internasional.

Para pekerja Korea Utara ini biasanya dikirim ke negara-negara seperti China dan Rusia, dari mana mereka menyamar sebagai freelancer yang mencari peluang kerja. Mereka juga diketahui mencuri identitas individu yang sah di Amerika Serikat untuk mencapai tujuan serupa.

Selain itu, mereka sering meminta perubahan alamat pengiriman laptop yang diberikan oleh perusahaan, yang kemudian dialihkan ke "laptop farm" di mana perantara di luar negeri memasang perangkat lunak remote desktop. Hal ini memungkinkan aktor Korea Utara untuk terhubung langsung ke komputer tersebut. Beberapa kontraktor bahkan bisa dipekerjakan oleh perusahaan yang sama, atau satu individu bisa berpura-pura menjadi beberapa persona berbeda.

Secureworks juga melaporkan kasus di mana kontraktor palsu meminta izin untuk menggunakan laptop pribadi mereka sendiri, dan bahkan menyebabkan perusahaan membatalkan pengiriman laptop perusahaan karena alamat pengiriman diubah saat dalam perjalanan.

Perilaku ini sejalan dengan taktik Nickel Tapestry yang berusaha menghindari penggunaan laptop perusahaan, dengan tujuan menghilangkan kebutuhan akan perantara lokal dan membatasi bukti forensik yang dapat ditemukan. Dengan menggunakan laptop pribadi, mereka dapat mengakses jaringan organisasi dari jarak jauh tanpa menimbulkan kecurigaan.

Sebagai tanda bahwa aktor ancaman ini terus berkembang, bukti menunjukkan bahwa seorang pekerja kontrak yang dipecat oleh sebuah perusahaan karena kinerja buruk beralih mengirim email pemerasan dengan lampiran ZIP berisi bukti data yang dicuri. Pergeseran ini secara signifikan mengubah risiko yang terkait dengan merekrut pekerja TI Korea Utara secara tidak sengaja.

"Perubahan ini menunjukkan bahwa mereka tidak hanya mengincar gaji tetap, tetapi juga berusaha mendapatkan jumlah uang yang lebih besar dengan cepat melalui pencurian data dan pemerasan dari dalam pertahanan perusahaan," ujar Rafe Pilling, Direktur Intelijen Ancaman di Secureworks CTU.

Untuk mengatasi ancaman ini, perusahaan-perusahaan diimbau untuk lebih berhati-hati selama proses perekrutan. Langkah-langkah yang disarankan meliputi pemeriksaan identitas yang mendalam, wawancara tatap muka atau video, serta memeriksa upaya untuk mengalihkan peralatan IT perusahaan ke alamat yang tidak sah. Selain itu, perusahaan juga harus mewaspadai perilaku mencurigakan seperti pengalihan gaji ke layanan transfer uang dan akses jaringan perusahaan menggunakan alat akses jarak jauh yang tidak sah.

"Peningkatan taktik ini dan perilaku yang tercantum dalam peringatan FBI menunjukkan sifat perhitungan dari skema ini," kata Secureworks CTU. Mereka juga menyoroti perilaku keuangan mencurigakan dari pekerja tersebut serta usaha mereka untuk menghindari penggunaan video saat panggilan berlangsung.

Permintaan tebusan ini menandai pergeseran signifikan dari skema Nickel Tapestry sebelumnya. Namun, kegiatan yang diamati sebelum pemerasan ini sejalan dengan skema lama yang melibatkan pekerja Korea Utara.