Langsung ke konten utama
Penyelidikan Terkait Ekstensi Palsu Mozilla
Investigasi • Waktu baca: 6—8 menit

Lebih dari 150 Ekstensi Mozilla Palsu — Satu Sistem Belakang & Iklan Berbayar

Media menyalahkan “beruang-beruang Rusia” atas lebih dari 150 ekstensi Mozilla palsu. Temuan kami menunjukkan adanya infrastruktur di Nigeria (IP 185.208.156.66), kit phishing yang digunakan kembali, serta bagaimana artikel berbayar turut menyebarkan mitos tersebut.

Awalnya diterbitkan pada Medium — PhishDestroy

Narasi yang Menyesatkan

Sebuah cerita tentang "Lebih dari 150 ekstensi Mozilla palsu" Berita yang dikaitkan dengan dugaan "jejak Rusia" itu disebarluaskan secara luas di berbagai media utama yang meliput kripto dan keamanan. Kedengarannya dramatis, tetapi analisis kami menunjukkan bahwa narasi ini menyesatkan — dan yang lebih parah lagi, hal itu melindungi para pelaku sebenarnya.

Lebih dari 150 Ekstensi Berkualitas Rendah pada Satu Backend

Semua ekstensi dalam kampanye ini adalah:

  • Tidak orisinal, sekadar salin-tempel.
  • Hanya logo dan namanya saja yang berbeda.
  • Semuanya terhubung ke sebuah backend tunggal.
Alamat IP Backend: 185.208.156.66
Domain backend-nya adalah alladdsite[.]digital/app.php. Sebagian besar domain yang terkait dengan alamat IP ini kini sudah tidak aktif, namun arsip-arsip tersebut menyimpan cuplikan halaman melalui Urlscan dan WebArchive.

Tindakan Kami Terhadap Kampanye Ini

Sebagai kelompok intelijen ancaman independen yang berspesialisasi dalam penghapusan infrastruktur phishing dan penipuan, kami:

  • Melaporkan langsung ke Mozilla untuk menandai ekstensi berbahaya.
  • Diteruskan ke SEAL, meminta bantuan profesional untuk mempercepat proses pelarangan.
  • Menerbitkan laporan di Chainabuse untuk meningkatkan visibilitas komunitas.
  • Menyisipkan jutaan frasa benih kosong ke dalam sistem backend para penyerang untuk mengacaukan data yang dicuri.

Mengapa Ini Bukan Infrastruktur "Rusia"

Pelaku ancaman berbahasa Rusia biasanya menggunakan:

  • Backend terdistribusi (Cloudflare Workers, Firebase, Amazon, tautan unik per kampanye).
  • Teknik pengaburan dan redundansi untuk menghindari titik kegagalan tunggal.

Sebaliknya, kampanye ini justru menunjukkan:

  • A Penyedia layanan hosting asal Nigeria.
  • Domain-domain tetangga yang terkait dengan penipuan perbankan, dompet kripto palsu, dan penipuan pengiriman palsu.
  • Sebuah akun Telegram yang menerima data curian yang terkait dengan sebuah Operator asal Nigeria.
"Kelompok-kelompok asal Rusia membangun infrastruktur yang canggih. Infrastruktur ini murah, terpusat, dan sederhana — persis seperti yang pernah kami lihat sebelumnya di server-server Nigeria."

Masalah Media Berbayar

Penempatan iklan berbayar menimbulkan konsekuensi serius:

  1. Satu artikel berbayar di media ternama berhasil diterbitkan.
  2. Ratusan situs web kecil, blog, dan saluran Telegram menyalin ulang atau menerjemahkannya.
  3. Dalam hitungan hari, hal itu berubah menjadi narasi palsu yang sangat besar dengan kesan seolah-olah kredibel.
"Para korban melihat 'jejak Rusia', menganggap kasus ini sudah ditutup, dan berhenti melapor ke pihak berwenang. Para pelaku kejahatan yang sesungguhnya tetap lolos dari hukuman."

Contoh: Angel Drainer

Semua media besar memuat berita utama tentang "Angel Drainer dihentikan setelah para pengembang mengidentifikasinya." Namun, apakah itu benar — ataukah hanya iklan berbayar lain yang diulang-ulang hingga tampak meyakinkan? Bagi para penjahat, membeli artikel hanyalah uang receh; bagi para korban, hal itu mengubah segalanya.

Perusahaan Keamanan Siber yang Mengelola Sendiri Hubungan Masyarakatnya

Perusahaan keamanan siber membayar puluhan ribu dolar untuk artikel yang membahas tentang diri mereka, penelitian mereka, dan dampaknya. Hal ini memunculkan pertanyaan mendasar:

  • Mengapa sebuah tim keamanan siber yang sesungguhnya perlu membayar untuk mendapatkan perlindungan?
  • Apakah mereka berusaha menyembunyikan jejak peretas yang sebenarnya?
  • Atau memanfaatkan identitas peretas tersebut untuk pemerasan atau keuntungan kompetitif?
  • Apakah tujuannya untuk memperkuat kepercayaan — atau memanipulasi persepsi demi keuntungan?
"Jika keamanan siber berubah menjadi sekadar permainan humas, di mana fakta-fakta ditentukan oleh siapa yang membayar lebih banyak, maka kepercayaan di bidang ini akan runtuh."

Bukti dari Pasar

Praktik tersebut tidak disembunyikan:

  • Di Fiverr, Upwork, dan pasar PR khusus, Anda dapat langsung membeli "artikel tamu."
  • Penyedia layanan mengirimkan Google Sheets yang berisi puluhan toko dan harga — termasuk merek-merek keamanan siber ternama.
  • Ada yang menjanjikan: "dengan biaya tambahan, tidak ada label sponsor."

Tujuan yang disebutkan dalam pembelian artikel antara lain:

  • Pembangunan Tautan (SEO).
  • Lalu Lintas & Penjualan.
  • Kesadaran Merek.
  • Manajemen Reputasi (menutupi hal-hal negatif).
  • Verifikasi Sosial.
  • Daftar Publikasi untuk Permohonan Visa.

Biaya yang disebutkan mencakup, antara lain, $20,000 untuk slot wawancara berbayar dari media kripto ternama.

"Ini bukan jurnalisme. Ini adalah pasar — tempat kredibilitas dibeli dan dijual."

Bisnis vs. Kebohongan

Menerbitkan konten berbayar bukanlah tindakan ilegal — itu adalah bisnis. Namun, ketika hal itu melampaui batas menyebarkan klaim palsu, mengalihkan arah penyelidikan, dan menyamarkan upaya humas sebagai fakta, hal itu justru menjadi bagian dari masalah.

Kesimpulan

PhishDestroy adalah inisiatif keamanan siber independen yang tidak menerima bayaran, tidak menjual iklan, dan tidak mencari keuntungan. Faktanya jelas:

  • Lebih dari 150 ekstensi Mozilla dialihkan ke satu server backend yang berlokasi di Nigeria.
  • Data tersebut dikirim ke sebuah akun Telegram asal Nigeria.
  • Narasi "jejak Rusia" itu hanyalah rekayasa belaka.
  • Liputan media berbayar memperkuat kabar bohong ini hingga tampak seolah-olah benar.
  • Bahkan perusahaan keamanan siber sendiri pun mengeluarkan biaya untuk promosi diri.
"Menjual iklan adalah bisnis. Menjual kebohongan sebagai fakta melindungi para penjahat. Dan ketika bahkan sektor keamanan siber pun ikut menjual narasi, para korban — dan keadilan — yang rugi."

Pernyataan Penolakan Tanggung Jawab

Kami tidak menuduh siapa pun, baik individu, perusahaan, maupun media mana pun. Semua fakta bersumber dari sumber terbuka dan dapat diverifikasi melalui arsip publik, hasil pemindaian, dan laporan. Pertanyaan sebenarnya: Mengapa narasi semacam itu dikendalikan dan disebarluaskan? Siapa yang diuntungkan ketika sebuah perusahaan keamanan yang tidak dikenal menerbitkan hasil investigasi besar-besaran yang tidak akurat, yang mengalihkan perhatian dari pihak-pihak yang sebenarnya terlibat?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
PENYELIDIKAN
Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
Malware Steam BlockBlasters: Kelalaian Platform Terungkap
PENYELIDIKAN
Malware Steam BlockBlasters: Kelalaian Platform Terungkap
Penipu Terbongkar: 4 Sistem Belakang Penipuan Diurai
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Diurai
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →