Rekrutmen palsu dan wawancara menjadi senjata baru, peretas Korea Utara menargetkan lebih dari 3100+ IP di industri kripto

Organisasi peretas Korea Utara PurpleBravo kembali beraksi. Setelah mencuri lebih dari 2 miliar dolar dari pasar cryptocurrency pada tahun 2025, organisasi ini pada 22 Januari tahun ini melancarkan kampanye penipuan rekrutmen berskala besar, melakukan serangan siber terhadap lebih dari 3100 alamat internet terkait perusahaan kecerdasan buatan, cryptocurrency, dan layanan keuangan. Kali ini, mereka menggunakan metode masuk yang lebih tersembunyi: menyamar sebagai perekrut atau pengembang, dan melalui wawancara teknis palsu, menjerat pencari kerja agar menjalankan kode berbahaya di perangkat perusahaan.

Rekrutmen palsu menjadi pintu masuk baru dalam social engineering

Inovasi teknik serangan

Proses serangan PurpleBravo yang baru terlihat sederhana, tetapi sangat efisien. Penyerang pertama-tama menyamar sebagai perekrut dari perusahaan cryptocurrency atau teknologi, lalu menghubungi pencari kerja. Kemudian, dengan alasan wawancara teknis, mereka meminta target menyelesaikan serangkaian tugas yang tampaknya masuk akal: meninjau kode, mengkloning repositori kode, atau menyelesaikan tugas pemrograman. Saat menjalankan tugas-tugas ini, sebenarnya pencari kerja menjalankan kode berbahaya yang disiapkan secara matang oleh peretas.

Keunggulan metode ini terletak pada pemanfaatan psikologi pencari kerja. Tugas wawancara tampak sangat masuk akal, dan pencari kerja cenderung ingin menunjukkan kemampuan mereka, sehingga mengurangi kewaspadaan. Bagi perusahaan, yang biasanya menjadi target adalah karyawan dengan kemampuan teknis tertentu, yang sering memiliki hak akses sistem yang lebih tinggi.

Penyamarandan dan infrastruktur

Menurut analisis dari lembaga riset keamanan Recorded Future, PurpleBravo menggunakan beberapa identitas palsu, termasuk identitas palsu dari Ukraina. Mereka mengerahkan dua alat trojan akses jarak jauh utama:

• PylangGhost: mampu secara otomatis mencuri kredensial browser dan Cookies
• GolangGhost: juga memiliki kemampuan pencurian kredensial

Selain itu, peretas juga mengembangkan alat berbahaya berbasis Microsoft Visual Studio Code, dengan menyisipkan backdoor melalui repositori Git yang berbahaya. Infrastruktur mereka cukup lengkap, memanfaatkan Astrill VPN dan 17 penyedia layanan untuk menghosting server malware.

Ancaman khusus terhadap industri crypto

Mengapa industri crypto menjadi target utama

Dari lebih dari 3100 target serangan ini, perusahaan cryptocurrency memegang proporsi yang signifikan. Ini bukan kebetulan. Karyawan di industri crypto biasanya memegang kunci pribadi, akses dompet, dan aset bernilai tinggi lainnya. Jika berhasil diretas, peretas dapat langsung mentransfer dana. Selain itu, pertahanan perusahaan crypto seringkali tidak sekuat lembaga keuangan tradisional.

Dari 20 lembaga yang telah dikonfirmasi menjadi korban, tersebar di Asia Selatan, Amerika Utara, Eropa, Timur Tengah, dan Amerika Tengah. Ini menunjukkan bahwa PurpleBravo memiliki target yang jelas di seluruh dunia.

Sinyal ancaman tambahan

Para peneliti keamanan juga menemukan bahwa saluran Telegram terkait menjual akun LinkedIn dan Upwork, dan pelaku serangan pernah berinteraksi dengan platform perdagangan crypto MEXC Exchange. Ini menunjukkan bahwa peretas mungkin sedang membangun rantai pasokan lengkap: mendapatkan identitas asli, membuat profil pencarian kerja palsu, melakukan serangan, dan mengubah aset hasil pencurian menjadi uang.

Bagaimana perusahaan dapat merespons

Kunci pertahanan

Bagi perusahaan crypto dan perusahaan teknologi, melindungi dari serangan semacam ini membutuhkan lapisan pertahanan berlapis:

• Verifikasi proses rekrutmen: konfirmasi undangan wawancara melalui saluran resmi, gunakan email perusahaan bukan email pihak ketiga
• Pelatihan karyawan: buat tim teknis memahami teknik social engineering terbaru, bahkan tugas wawancara yang tampak masuk akal harus tetap diwaspadai
• Pemeriksaan kode: lakukan peninjauan ketat terhadap kode dari luar, jangan langsung jalankan di lingkungan produksi
• Kontrol akses: batasi hak akses perangkat karyawan, gunakan mesin virtual terisolasi untuk tugas yang tidak dipercaya
• Pemantauan dan alarm: pasang alat deteksi dan respons endpoint (EDR), pantau akses kredensial dan koneksi jaringan yang mencurigakan

Kesimpulan

Rekrutmen palsu dan wawancara palsu mewakili arah baru dalam teknik social engineering peretas. Dibandingkan dengan email phishing tradisional, metode ini lebih terarah, memanfaatkan psikologi pencari kerja dan celah dalam proses rekrutmen perusahaan. Untuk industri crypto, aktivitas berkelanjutan PurpleBravo menunjukkan bahwa peretas Korea Utara masih menganggap industri ini sebagai target utama. Perusahaan harus menyadari bahwa karyawan dengan keahlian tinggi sering menjadi titik lemah yang paling mudah dieksploitasi, dan pertahanan utama adalah membangun proses verifikasi rekrutmen yang lengkap serta meningkatkan kesadaran keamanan karyawan. Selain itu, berbagi informasi dan kolaborasi dalam industri menjadi semakin penting untuk pertahanan bersama.