Bagaimana Operasi AI 'Famous Chollima' Korea Utara Meretas Ratusan Perusahaan Teknologi AS demi Mendanai Nuklir

Trik perekrutan bertenaga AI

Keahlian utama Famous Chollima sangat canggih namun sederhana secara mengejutkan: dapatkan pekerjaan. Aktif setidaknya sejak 2018, kelompok ini berspesialisasi dalam mendapatkan pekerjaan lepas palsu atau setara penuh waktu, biasanya sebagai pengembang perangkat lunak jarak jauh .

Yang berubah baru-baru ini adalah industrialisasi dari penipuan perekrutan ini. Laporan Perburuan Ancaman CrowdStrike 2025 menggambarkan "gambaran yang jelas tentang musuh yang sangat memadukan alat bertenaga GenAI yang mengotomatiskan dan mengoptimalkan alur kerja di setiap tahap proses perekrutan dan ketenagakerjaan" .

Taktik spesifik yang didokumentasikan dalam laporan CrowdStrike meliputi:

• Video dan audio deepfake yang dihasilkan AI untuk wawancara jarak jauh. Para agen menggunakan alat GenAI konsumen, termasuk ChatGPT dari OpenAI dan Gemini dari Google, untuk mengubah suara dan video mereka secara real-time selama wawancara video dan untuk menghasilkan jawaban meyakinkan atas pertanyaan teknis .
• Persona profesional yang sepenuhnya dibuat-buat. Aktor ancaman membuat profil LinkedIn yang dipoles dengan gambar profil yang dihasilkan AI, lengkap dengan riwayat pekerjaan yang meyakinkan dan resume palsu yang lolos pemeriksaan latar belakang .
• Dokumen identitas curian asli. Para agen memanfaatkan Nomor Jaminan Sosial AS yang dicuri dan dokumen identitas lainnya untuk memperdalam ilusi legitimasi bagi sistem penyaringan latar belakang .

Tim pemburu ancaman OverWatch milik CrowdStrike menyelidiki lebih dari 320 kasus berbeda di mana agen Famous Chollima mendapatkan pekerjaan palsu dalam periode 12 bulan—peningkatan mengejutkan 220% dibandingkan tahun sebelumnya . Tingkat keberhasilan dari perekrutan terselubung ini juga melonjak 220%, dan kepala operasi kontra-musuh CrowdStrike, Adam Meyers, mencatat bahwa timnya kini menanggapi sekitar satu insiden seperti itu setiap hari .

Apa yang mereka incar

Motivasinya adalah jalur pendapatan ganda untuk rezim yang terkena sanksi tersebut.

Aliran pertama adalah pencurian gaji langsung. Agen Famous Chollima mengumpulkan gaji dari perusahaan yang mereka infiltrasi, menyalurkan upah tersebut ke Korea Utara. Yang kedua—dan lebih merusak bagi korban—adalah pencurian kekayaan intelektual. Begitu berada di dalam jaringan dengan kredensial yang sah, para agen mencuri kode sumber berpemilik, rahasia dagang, dan kekayaan intelektual sensitif lainnya .

Sejalan dengan skema pekerja TI, ekosistem siber Korea Utara yang lebih luas menjalankan operasi pencurian mata uang kripto besar-besaran. Laporan Lanskap Ancaman Layanan Keuangan CrowdStrike 2026 menemukan bahwa kelompok-kelompok terkait DPRK mencuri gabungan $2,02 miliar dalam aset digital selama 2025, meningkat 51% dibandingkan tahun sebelumnya . Pencurian tunggal terbesar—$1,46 miliar dalam mata uang kripto—dikaitkan dengan kelompok terkait bernama PRESSURE CHOLLIMA, yang menyebarkan perangkat lunak berbahaya melalui kompromi rantai pasokan .

Tujuan akhir dari dana ini bersifat eksplisit. Miliaran yang dicuri "hampir pasti dicuci dan akan digunakan untuk mendanai program militer dan senjata nuklir rezim," demikian pernyataan Laporan Lanskap Ancaman Layanan Keuangan 2026 .

Melampaui perekrutan: pemerasan pencurian data

Sementara laporan publik Famous Chollima menekankan infiltrasi dan pencurian, eksfiltrasi data membawa potensi keuntungan kedua. Operasi siber Korea Utara yang lebih luas telah mengadopsi taktik pemerasan pencurian data—mengancam akan membocorkan informasi yang dicuri kecuali tebusan dibayarkan.

Laporan Ancaman Global CrowdStrike sebelumnya melacak peningkatan 76% korban yang disebutkan di situs bocoran khusus karena pemerasan pencurian data menjadi jalur monetisasi yang disukai banyak musuh . Perusahaan tersebut mencatat bahwa aktor-aktor terkait DPRK telah teramati melakukan kampanye pencurian data dan pemerasan tanpa menyebarkan ransomware, memberikan tekanan melalui ancaman mengekspos data sensitif .

CrowdStrike juga telah mengonfirmasi bahwa dalam keterlibatan layanan yang melibatkan Famous Chollima, pencurian data dikonfirmasi dalam 50% kasus . Informasi yang dieksfiltrasi itu dapat dimanfaatkan untuk pemerasan, meskipun ringkasan laporan publik lebih fokus langsung pada infiltrasi orang dalam kelompok tersebut dan jalur pencurian kripto-gaji. Rincian pasti dari buku pedoman tebusan pasca-deteksi Famous Chollima mungkin hanya tersedia dalam laporan ancaman lengkap yang tidak disunting, bukan ringkasan publik yang tersedia hingga saat ini.

Skala dan kecanggihan operasi ini mewakili paradigma baru dalam intrusi siber negara-bangsa, menggeser ancaman dari serangan perimeter menjadi orang dalam tepercaya yang diterima bekerja, digaji, dan mencuri dari dalam.