Kelompok Lazarus Korea Utara Dikaitkan dengan Serangan Ransomware Medusa ke Sektor Kesehatan AS

Kelompok peretas yang didukung negara Korea Utara, Lazarus, dilaporkan terlibat dalam serangan pemerasan terhadap organisasi layanan kesehatan di Amerika Serikat menggunakan ransomware Medusa. Temuan ini menandai pertama kalinya aktor tersebut dikaitkan langsung dengan operasi ransomware Medusa.

Dalam laporan terbarunya, perusahaan keamanan siber Symantec menyebut bahwa subkelompok Lazarus—yang kemungkinan dikenal sebagai Andariel atau Stonefly—menggunakan Medusa dalam serangan bermotif finansial terhadap penyedia layanan kesehatan di AS.

Medusa RaaS dan Skala Serangan

Operasi ransomware-as-a-service (RaaS) Medusa pertama kali muncul pada Januari 2021. Hingga Februari 2025, kelompok ini telah menyerang lebih dari 300 organisasi di berbagai sektor infrastruktur kritis. Setelah itu, sedikitnya 80 korban tambahan diklaim di situs kebocoran data mereka.

Sejak awal November 2025, situs kebocoran Medusa mencantumkan empat korban dari sektor kesehatan dan organisasi nirlaba di AS, termasuk sebuah fasilitas pendidikan bagi anak-anak dengan autisme.

Meski demikian, tidak seluruh serangan Medusa dapat dipastikan berasal dari Lazarus. Menurut Symantec, nilai tebusan yang diminta Medusa dapat mencapai 15 juta dolar AS, dengan rata-rata sekitar 260.000 dolar AS per korban.

Jejak Toolset Lazarus dan Diamond Sleet

Peneliti menemukan bahwa rangkaian alat yang digunakan dalam serangan Medusa menunjukkan keterkaitan dengan Lazarus serta indikasi hubungan dengan kelompok Korea Utara lainnya, Diamond Sleet, yang biasanya menargetkan industri media, pertahanan, dan teknologi informasi.

Beberapa utilitas yang teridentifikasi dalam serangan meliputi:

• Comebacker, backdoor/loader yang dikaitkan dengan Diamond Sleet
• Blindingcan, trojan akses jarak jauh
• ChromeStealer, alat pencuri kredensial browser Chrome
• Infohook, malware pencuri informasi
• Mimikatz, alat dumping kredensial
• RP_Proxy, proxy kustom
• Curl, alat transfer data

Sebagian alat tersebut bersifat komoditas yang umum digunakan dalam berbagai kampanye siber.

Tidak Ada Batasan Target

Symantec menilai bahwa aktor Korea Utara tidak menunjukkan batasan dalam memilih target. Berbeda dengan sebagian kelompok kriminal siber yang menghindari sektor kesehatan demi mengurangi risiko reputasi negatif, Lazarus disebut tidak memiliki pembatasan semacam itu.

Dana yang diperoleh dari aktivitas ransomware diduga digunakan untuk mendukung operasi spionase terhadap entitas di sektor pertahanan, teknologi, dan pemerintahan di AS, Taiwan, serta Korea Selatan.

Sebelumnya, Lazarus telah dikaitkan dengan sejumlah keluarga ransomware dan malware lain, termasuk HolyGhost, PLAY, Maui, dan Qilin. Namun, keterlibatan dalam Medusa memperluas spektrum aktivitas kelompok tersebut dalam ranah kejahatan siber berbasis pemerasan.

Symantec turut merilis indikator kompromi (IoC) dalam laporannya, mencakup data infrastruktur jaringan serta hash malware yang digunakan dalam serangan.

Temuan ini kembali menegaskan bahwa operasi ransomware kini tidak hanya menjadi alat kriminal murni, tetapi juga bagian dari strategi pendanaan aktor negara untuk mendukung agenda geopolitik mereka.