Lebih dari 150 Ekstensi Mozilla Palsu — Satu Sistem Belakang & Iklan Berbayar
Media menyalahkan “beruang-beruang Rusia” atas lebih dari 150 ekstensi Mozilla palsu. Temuan kami menunjukkan adanya infrastruktur di Nigeria (IP 185.208.156.66), kit phishing yang digunakan kembali, serta bagaimana artikel berbayar turut menyebarkan mitos tersebut.
Narasi yang Menyesatkan
Sebuah cerita tentang "Lebih dari 150 ekstensi Mozilla palsu" Berita yang dikaitkan dengan dugaan "jejak Rusia" itu disebarluaskan secara luas di berbagai media utama yang meliput kripto dan keamanan. Kedengarannya dramatis, tetapi analisis kami menunjukkan bahwa narasi ini menyesatkan — dan yang lebih parah lagi, hal itu melindungi para pelaku sebenarnya.
Lebih dari 150 Ekstensi Berkualitas Rendah pada Satu Backend
Semua ekstensi dalam kampanye ini adalah:
- Tidak orisinal, sekadar salin-tempel.
- Hanya logo dan namanya saja yang berbeda.
- Semuanya terhubung ke sebuah backend tunggal.
185.208.156.66Domain backend-nya adalah
alladdsite[.]digital/app.php. Sebagian besar domain yang terkait dengan alamat IP ini kini sudah tidak aktif, namun arsip-arsip tersebut menyimpan cuplikan halaman melalui Urlscan dan WebArchive. Tindakan Kami Terhadap Kampanye Ini
Sebagai kelompok intelijen ancaman independen yang berspesialisasi dalam penghapusan infrastruktur phishing dan penipuan, kami:
- Melaporkan langsung ke Mozilla untuk menandai ekstensi berbahaya.
- Diteruskan ke SEAL, meminta bantuan profesional untuk mempercepat proses pelarangan.
- Menerbitkan laporan di Chainabuse untuk meningkatkan visibilitas komunitas.
- Menyisipkan jutaan frasa benih kosong ke dalam sistem backend para penyerang untuk mengacaukan data yang dicuri.
Mengapa Ini Bukan Infrastruktur "Rusia"
Pelaku ancaman berbahasa Rusia biasanya menggunakan:
- Backend terdistribusi (Cloudflare Workers, Firebase, Amazon, tautan unik per kampanye).
- Teknik pengaburan dan redundansi untuk menghindari titik kegagalan tunggal.
Sebaliknya, kampanye ini justru menunjukkan:
- A Penyedia layanan hosting asal Nigeria.
- Domain-domain tetangga yang terkait dengan penipuan perbankan, dompet kripto palsu, dan penipuan pengiriman palsu.
- Sebuah akun Telegram yang menerima data curian yang terkait dengan sebuah Operator asal Nigeria.
Masalah Media Berbayar
Penempatan iklan berbayar menimbulkan konsekuensi serius:
- Satu artikel berbayar di media ternama berhasil diterbitkan.
- Ratusan situs web kecil, blog, dan saluran Telegram menyalin ulang atau menerjemahkannya.
- Dalam hitungan hari, hal itu berubah menjadi narasi palsu yang sangat besar dengan kesan seolah-olah kredibel.
Contoh: Angel Drainer
Semua media besar memuat berita utama tentang "Angel Drainer dihentikan setelah para pengembang mengidentifikasinya." Namun, apakah itu benar — ataukah hanya iklan berbayar lain yang diulang-ulang hingga tampak meyakinkan? Bagi para penjahat, membeli artikel hanyalah uang receh; bagi para korban, hal itu mengubah segalanya.
Perusahaan Keamanan Siber yang Mengelola Sendiri Hubungan Masyarakatnya
Perusahaan keamanan siber membayar puluhan ribu dolar untuk artikel yang membahas tentang diri mereka, penelitian mereka, dan dampaknya. Hal ini memunculkan pertanyaan mendasar:
- Mengapa sebuah tim keamanan siber yang sesungguhnya perlu membayar untuk mendapatkan perlindungan?
- Apakah mereka berusaha menyembunyikan jejak peretas yang sebenarnya?
- Atau memanfaatkan identitas peretas tersebut untuk pemerasan atau keuntungan kompetitif?
- Apakah tujuannya untuk memperkuat kepercayaan — atau memanipulasi persepsi demi keuntungan?
Bukti dari Pasar
Praktik tersebut tidak disembunyikan:
- Di Fiverr, Upwork, dan pasar PR khusus, Anda dapat langsung membeli "artikel tamu."
- Penyedia layanan mengirimkan Google Sheets yang berisi puluhan toko dan harga — termasuk merek-merek keamanan siber ternama.
- Ada yang menjanjikan: "dengan biaya tambahan, tidak ada label sponsor."
Tujuan yang disebutkan dalam pembelian artikel antara lain:
- Pembangunan Tautan (SEO).
- Lalu Lintas & Penjualan.
- Kesadaran Merek.
- Manajemen Reputasi (menutupi hal-hal negatif).
- Verifikasi Sosial.
- Daftar Publikasi untuk Permohonan Visa.
Biaya yang disebutkan mencakup, antara lain, $20,000 untuk slot wawancara berbayar dari media kripto ternama.
Bisnis vs. Kebohongan
Menerbitkan konten berbayar bukanlah tindakan ilegal — itu adalah bisnis. Namun, ketika hal itu melampaui batas menyebarkan klaim palsu, mengalihkan arah penyelidikan, dan menyamarkan upaya humas sebagai fakta, hal itu justru menjadi bagian dari masalah.
Kesimpulan
PhishDestroy adalah inisiatif keamanan siber independen yang tidak menerima bayaran, tidak menjual iklan, dan tidak mencari keuntungan. Faktanya jelas:
- Lebih dari 150 ekstensi Mozilla dialihkan ke satu server backend yang berlokasi di Nigeria.
- Data tersebut dikirim ke sebuah akun Telegram asal Nigeria.
- Narasi "jejak Rusia" itu hanyalah rekayasa belaka.
- Liputan media berbayar memperkuat kabar bohong ini hingga tampak seolah-olah benar.
- Bahkan perusahaan keamanan siber sendiri pun mengeluarkan biaya untuk promosi diri.
Pernyataan Penolakan Tanggung Jawab
Kami tidak menuduh siapa pun, baik individu, perusahaan, maupun media mana pun. Semua fakta bersumber dari sumber terbuka dan dapat diverifikasi melalui arsip publik, hasil pemindaian, dan laporan. Pertanyaan sebenarnya: Mengapa narasi semacam itu dikendalikan dan disebarluaskan? Siapa yang diuntungkan ketika sebuah perusahaan keamanan yang tidak dikenal menerbitkan hasil investigasi besar-besaran yang tidak akurat, yang mengalihkan perhatian dari pihak-pihak yang sebenarnya terlibat?



