TEMPO.CO, Jakarta - Adalah hal yang biasa ketika Daniel DePetris, seorang pengamat hubungan luar negeri di Amerika Serikat, mendapatkan surel dari direktur lembaga pemerhati Korea Utara, 38 North. Lembaga itu memintanya untuk menulis sebuah artikel pada Oktober lalu. Ternyata, faktanya tidak demikian.
Baca juga: Korea Utara Lakukan Cyber Crime Bukan untuk Intelijen, tapi...
Sang pengirim surel diduga adalah seorang mata-mata Korea Utara yang ingin mengorek informasi, menurut mereka yang terlibat dan tiga peneliti keamanan siber.
Bukannya merusak atau mencuri data sensitif di komputernya, seperti yang lazim dilakukan para peretas, pengirim surel berusaha meminta pendapatnya tentang isu keamanan Korut dengan berpura-pura sebagai Jenny Town, direktur 38 North.
"Saya menyadari itu tidak benar setelah saya menghubungi orang tersebut (Jenny Town). Ternyata, tidak ada permintaan seperti itu, dan dia juga menjadi target," kata DePetris kepada Reuters. "Jadi saya segera sadar ini adalah upaya (serangan) yang meluas."
Surel itu menjadi bagian dari upaya baru dan belum pernah dilaporkan sebelumnya dari kelompok peretas yang dicurigai berasal dari Korut. Hal ini dilaporkan pakar keamanan siber, lima individu yang menjadi target, dan surel yang dilihat oleh Reuters.
Pakar keamanan siber menduga para peretas menyasar orang-orang berpengaruh di pemerintahan asing untuk lebih memahami ke arah mana kebijakan Barat terhadap Korut.
Kelompok peretas, yang oleh para peneliti dijuluki sebagai Thallium atau Kimsuky --salah satu dari banyak nama lain-- telah lama menggunakan surel untuk melakukan spear phishing. Taktik ini mengelabui target agar memberikan kata sandi, atau membuka lampiran atau tautan yang mengandung malware (piranti lunak penyusup).
Spear phising tidak dilakukan dengan cara mengirim surel secara masif dan acak, tetapi menargetkan calon korban tertentu. Biasanya teknik ini dilakukan setelah beberapa informasi dasar tentang calon korban dimiliki, seperti nama dan alamat.
Namun sekarang, tampaknya kelompok peretas itu mencoba strategi baru, yaitu meminta peneliti atau pakar lain untuk memberikan pendapat atau menuliskan laporan.
Menurut surel yang dipelajari Reuters, di antara isu-isu lain yang diangkat adalah reaksi China jika Korut melakukan uji coba baru senjata nuklir, dan apakah akan ada pendekatan yang "lebih lunak" terhadap "agresi" Korut.
"Para peretas sering berhasil dengan metode yang sangat, sangat sederhana ini," kata James Elliott dari Microsoft Threat Intelligence Center (MSTIC). Ia menambahkan bahwa taktik baru ini pertama kali muncul pada Januari. "Para penyerang telah sepenuhnya mengubah proses (cara kerja) mereka."
MSTIC mengatakan telah mengidentifikasi "beberapa" pakar masalah Korut yang telah memberikan informasi ke akun penyerang Thallium.
Sebuah laporan pada 2020 oleh Badan Keamanan Siber Pemerintah AS mengatakan bahwa Thallium telah beroperasi sejak 2012. “Kemungkinan besar ditugaskan oleh rezim Korea Utara dengan misi pengumpulan data intelijen global."
Menurut Microsoft, Thallium secara historis menargetkan pegawai pemerintah, lembaga pemikiran, akademisi, dan organisasi hak asasi manusia.
"Para penyerang mendapatkan informasi langsung dari yang bersangkutan, jika Anda mau. Dan mereka tidak perlu bersusah payah membuat interpretasi karena mereka mendapatkannya langsung dari ahlinya," kata Elliott.