Korea Utara Gunakan Skema Pekerja IT Palsu, Rekrut Insinyur untuk Sewa Identitas
Peneliti keamanan mengungkap operasi intelijen yang belum pernah terjadi sebelumnya, di mana perekrut IT asal Korea Utara menargetkan pengembang untuk menyewa identitas mereka demi penggalangan dana ilegal.
Modus Operandi Famous Chollima
Kelompok Famous Chollima (juga dikenal sebagai WageMole), bagian dari grup Lazarus yang disponsori negara, dikenal dengan kampanye rekayasa sosial untuk menyusup ke perusahaan Barat. Mereka berhasil menipu perekrut dan mendapatkan pekerjaan di perusahaan Fortune 500 dengan memanfaatkan identitas curian, video deepfake, serta menghindari tampil di kamera saat wawancara.
Selain itu, mereka juga merekrut insinyur sah untuk bertindak sebagai “figur publik” dalam operasi, menerima 20–35% dari gaji kontrak. Dalam kasus tertentu, insinyur yang terkompromi diminta memberikan akses penuh ke komputer mereka, sehingga agen DPRK dapat menyembunyikan lokasi dan aktivitas berbahaya di balik identitas orang lain.
Investigasi Peneliti Keamanan
Mauro Eldritch, pakar ancaman dari BCA LTD, bersama Heiner García dari inisiatif NorthScan, mendokumentasikan taktik perekrutan ini. Mereka menemukan akun GitHub yang menyebarkan pesan rekrutmen untuk menghadiri wawancara teknis (.NET, Java, Python, Golang, Blockchain) dengan identitas palsu. Tawaran finansial dipatok sekitar $3000 per bulan, meski kandidat tidak perlu mahir secara teknis karena perekrut akan membantu menjawab pertanyaan.
Untuk mengungkap operasi ini, Eldritch dan García membuat honeypot berupa laptop virtual menggunakan layanan sandbox ANY.RUN. García berperan sebagai insinyur pemula bernama “Andy Jones” dari AS. Dalam interaksi, perekrut Korea Utara meminta akses 24/7 via AnyDesk, serta data pribadi seperti ID, nama lengkap, status visa, alamat, hingga nomor jaminan sosial untuk verifikasi KYC.
Taktik dan Alat yang Digunakan
Peneliti mencatat penggunaan Astrill VPN, layanan populer di kalangan pekerja IT palsu Korea Utara. Mereka juga menemukan berbagai ekstensi berbasis AI seperti AIApply, Simplify Copilot, dan Final Round AI untuk mengisi formulir lamaran, membuat resume, serta memberikan jawaban real-time saat wawancara.
Selain itu, agen DPRK menggunakan Google Remote Desktop, ekstensi OTP, serta melakukan pemeriksaan sistem rutin. Dalam satu insiden, perekrut secara tidak sengaja menyinkronkan akun Gmail mereka, membuka akses ke email, preferensi, dan langganan platform pencari kerja.
Struktur Tim dan Risiko
Laporan menyebut tim Famous Chollima terdiri dari enam anggota dengan nama samaran Mateo, Julián, Aaron, Jesús, Sebastián, dan Alfredo. Namun, ada beberapa tim lain dengan hingga sepuluh anggota yang bersaing satu sama lain untuk merekrut korban.
Menurut Eldritch, insinyur yang menyewakan identitas menanggung seluruh risiko hukum dan reputasi, karena mereka akan dianggap bertanggung jawab atas aktivitas berbahaya yang dilakukan melalui komputer mereka.
Implikasi bagi Perusahaan
Data yang dikumpulkan dari operasi ini dapat menjadi peringatan dini bagi perusahaan kecil maupun besar. Informasi tersebut membantu tim keamanan mengantisipasi perilaku kelompok, mengganggu alur kerja mereka, dan meningkatkan deteksi di luar metode tradisional berbasis Indicators of Compromise (IoC).
