Temuan Penting
Steam dengan terang-terangan berbohong, melindungi para penjahat, dan menghalangi penyelidikan.
Pendahuluan: Tindak Pidana Kelalaian yang Disengaja
Pada Agustus 2025, platform game terbesar di dunia, Steam, tidak hanya mengalami pelanggaran keamanan; platform tersebut justru secara aktif memfasilitasi terjadinya pelanggaran tersebut. Melalui serangkaian kegagalan sistemik dan kelalaian yang parah, Valve membiarkan game tersebut BlockBlasters (AppID 3872350) dijadikan sebagai kuda Troya untuk kampanye malware yang merusak. Ini bukanlah serangan yang canggih dan tak terelakkan. Ini adalah operasi pencurian data yang sangat klasik, yang berhasil karena sistem keamanan Steam pada dasarnya sudah rusak. Selama 22 hari, malware tersebut mencuri ratusan ribu dolar, mengosongkan dompet kripto, dan membobol akun pengguna, sementara Valve tidak melakukan apa-apa.
Ketika kebenaran terungkap, respons Valve bukanlah untuk melindungi penggunanya, melainkan untuk melindungi citranya. Perusahaan tersebut mengeluarkan satu pernyataan yang menyesatkan, menyalahkan "akun pengembang yang diretas" — sebuah kebohongan yang menyedihkan yang dirancang untuk mengalihkan kesalahan dan melindungi diri dari tanggung jawab. Artikel ini akan membongkar kebohongan tersebut. Dengan menggunakan data forensik, analisis kronologi, dan kebijakan Valve sendiri, kami akan membuktikan bahwa insiden ini bukan sekadar kelalaian dalam bertindak, melainkan upaya penyembunyian yang disengaja atas kelalaian kriminal.

Identitas yang Terungkap
Steam dengan terang-terangan berbohong dan menyembunyikan identitas Valentin Lopes, pengembang terverifikasi di balik aplikasi berbahaya tersebut.
Jadwal 22 Hari Tanpa Tindakan
Valve memiliki waktu 22 hari untuk menghentikan hal ini. Laporan dari pengguna terus berdatangan, dan data platform menunjukkan tanda-tanda masalah yang jelas. Diamnya mereka adalah sebuah pilihan.
BlockBlasters diluncurkan. Versi game yang bersih dan sah telah disetujui melalui proses verifikasi Steam.
Jebakan telah dipasang. Para penyerang merilis Patch Build 19799326. Pembaruan ini, yang berisi muatan malware, telah disetujui oleh Steam dan didistribusikan kepada semua pemain.
Para korban pertama mulai memberi peringatan. Para pengguna membanjiri Layanan Dukungan Steam dengan tiket yang melaporkan penggunaan CPU yang tidak wajar, lalu lintas jaringan yang mencurigakan, dan —yang paling kritis— mata uang kripto yang dicuri. Tiket-tiket ini seolah-olah masuk ke dalam lubang hitam, diabaikan oleh Valve.
Data tersebut memberikan peringatan yang sangat jelas. Data telemetri publik dari SteamDB menunjukkan jumlah pemain anjlok hingga hanya tersisa satu digit, namun game tersebut masih terpasang di ratusan perangkat, dan diam-diam terus mencuri data. Ketidaksesuaian yang sangat besar ini merupakan tanda bahaya yang seharusnya sudah terdeteksi oleh sistem pemantauan yang kompeten.
Komunitas pun bertindak. Para peneliti keamanan independen mengungkap infrastruktur perintah dan kendali malware yang berbasis Telegram, sehingga memaksa para peretas untuk bertindak.
Buktinya tak terbantahkan. G DATA CyberDefense AG menerbitkan laporan forensik lengkap yang mengonfirmasi vektor serangan bertahap dari malware tersebut dan mengungkap detail teknis dari insiden kebocoran data tersebut.
Analisis Serangan Tersebut
Ini bukanlah malware yang canggih. Ini hanyalah gabungan yang sederhana namun efektif dari skrip-skrip umum dan program pencuri data yang seharusnya sangat mudah dideteksi oleh platform bernilai miliaran dolar.
Tahap 1: Kompromi Awal (game2.bat)
Payload awal, berupa skrip batch sederhana, melakukan pengintaian dasar: mengumpulkan alamat IP, lokasi geografis, dan detail pengguna Steam. Selanjutnya, payload tersebut mengunduh berkas ZIP yang dilindungi kata sandi (v1.zip)—sebuah teknik klasik untuk mengelabui pemindai otomatis yang sederhana.
Tahap 2: Pengelakan dan Eskalasi (VBS Loaders)
Dengan menggunakan skrip VBS, malware tersebut menjalankan komponen intinya di jendela perintah tersembunyi. Malware tersebut menambahkan direktori miliknya ke daftar pengecualian Microsoft Defender — suatu tindakan yang seharusnya memicu peringatan segera dengan prioritas tinggi pada sistem mana pun yang dipantau.
Tahap 3: Pencurian Data (Client-built2.exe & Block1.exe)
Dengan sistem pertahanan yang dinonaktifkan, malware tersebut meluncurkan muatan utamanya: sebuah backdoor berbasis Python untuk akses berkelanjutan dan varian dari infostealer StealC. Malware ini menargetkan data peramban, token sesi, dan—yang paling penting—dompet mata uang kripto dari Chrome, Edge, dan Brave. Semua data yang dicuri disalurkan ke dua server komando dan kontrol melalui lalu lintas HTTP yang tidak aman. Indikator Kompromi (IOC) dari crypto drainer tersebut mengonfirmasi bahwa Steam merupakan vektor distribusi malware untuk operasi pencurian terorganisir.
Kepercayaan yang Dikhianati
Justru sertifikat tepercaya yang mereka miliki dan sikap acuh tak acuh mereka itulah yang menyebabkan puluhan kasus pencurian yang mereka tutupi. Hal ini merupakan contoh klasik serangan rantai pasokan yang memanfaatkan eksploitasi kepercayaan terhadap platform dalam skala besar.
Indikator Kompromi (IOC)
| Berkas | SHA256 | Klasifikasi |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Membongkar Kebohongan: "Akun yang Diretas" Itu Benar-benar Omong Kosong
Penyembunyian Terungkap
Steam menyembunyikan kebenaran dan membantu para korban, sementara perusahaannya memeriksa para pengembang dan memberikan sertifikat kepercayaan tertinggi untuk konten mereka.
Mari kita sebut saja alasan Valve soal "pengembang yang diretas" itu apa adanya: kebohongan yang menyedihkan dan mudah dibantah. Ini merupakan penghinaan terhadap kecerdasan para penggunanya, sebuah narasi yang dirancang untuk melindungi mereka dari konsekuensi kelalaian mereka sendiri. Seluruh khayalan ini runtuh begitu Anda melihat prosedur wajib yang diterapkan Steam sendiri.
- "Tembok $100" dan Verifikasi Identitas: Untuk menerbitkan game di Steam, setiap pengembang harus mengikuti program Steam Direct. Hal ini mencakup pembayaran biaya sebesar $100 dan menyelesaikan proses Know Your Customer (KYC), dengan memberikan nama resmi, informasi perbankan, dan dokumen perpajakan. Pelaku bukanlah sosok anonim; Valve memiliki identitas dan rincian keuangan yang terverifikasi dalam arsip mereka. Hal ini menjadikan ketidakbertindakan mereka sebagai pilihan sadar untuk melindungi mitra terverifikasi daripada pengguna mereka sendiri.
- Mitos Pemadaman Listrik Selama 22 Hari: Steamworks menyediakan alat yang andal bagi para pengembang untuk mengamankan akun mereka. Seorang pengembang yang sah yang kehilangan kendali dapat mengajukan tiket "kehilangan akses ke kredensial penerbit". Proses ini dirancang agar cepat, sehingga hak penerbitan dan build dapat dibekukan dalam hitungan jam, bukan minggu. Gagasan bahwa seorang pengembang bisa terkunci selama lebih dari 20 hari sementara game mereka menyebarkan malware adalah hal yang tidak masuk akal. Hal ini menyiratkan salah satu dari dua skenario, yang keduanya menuduh Valve: entah pengembang tersebut terlibat, atau Valve mengabaikan tiket dukungan yang mereka ajukan dengan panik, di samping puluhan keluhan pengguna.
- Pengabaian Sistematis terhadap Keluhan Pengguna: Puluhan pengguna mengajukan laporan terperinci mengenai pencurian dana, aktivitas malware, dan peretasan akun. Ini bukanlah keluhan yang samar-samar; melainkan informasi yang dapat ditindaklanjuti. Sistem dukungan yang kompeten seharusnya telah menandai laporan-laporan ini, menindaklanjuti masalahnya, dan membekukan halaman aplikasi tersebut sambil menunggu penyelidikan dalam waktu 24 jam. Kegagalan Valve untuk melakukannya selama 22 hari bukanlah kelalaian; ini adalah kebijakan yang sengaja mengabaikan masalah.
Penipuan Utama: Memanipulasi TKP Digital
Di sinilah upaya Valve untuk menutup-nutupi masalah ini berubah dari sekadar kelalaian menjadi sesuatu yang hanya bisa digambarkan sebagai merusak TKP digital. Mari kita nyatakan hal ini dengan jelas: Valve tidak menghapus game yang terinfeksi tersebut.
Bukti forensik dan analisis dari para peneliti keamanan yang melacak infrastruktur C2 menegaskan hal ini tanpa keraguan: para penjahat itu sendiri yang menghapus build berbahaya mereka dari server Steam. Mereka melakukan hal ini pada tanggal 21 September, tepat setelah grup kontrol Telegram mereka terungkap ke publik. Mereka melakukan taktik "bumi hangus" saat mundur, menghancurkan bukti untuk menutupi jejak mereka.

Klaim Valve bahwa mereka telah mengambil tindakan hanyalah kebohongan belaka. Dengan menunggu para penyerang menghapus jejak mereka sendiri sebelum turun tangan untuk menghapus halaman toko tersebut, Valve pada dasarnya membiarkan bukti utama dihancurkan. Ini bukanlah upaya penanggulangan dampak; ini adalah upaya menghalangi penyelidikan. Mereka tidak melindungi pengguna; mereka justru melindungi diri sendiri dengan memastikan TKP dibersihkan.
Dampak Manusiawi dari Ketidakpedulian Perusahaan
Kelalaian Valve telah menimbulkan konsekuensi nyata, namun perusahaan tersebut sama sekali tidak bertanggung jawab atas hal tersebut.
- Kebangkrutan: Lebih dari 150.000 dolar AS telah dicuri (sepertinya jumlahnya lebih dari 1.000.000 dolar AS). Bagi banyak orang, uang tersebut cukup untuk mengubah hidup mereka. Seorang streamer kehilangan 32.000 dolar AS saat siaran langsung amal untuk pengobatan kanker.
- Pengkhianatan Terhadap Kepercayaan: Ratusan pengguna mengalami peretasan akun, data mereka dicuri, dan sistem mereka terinfeksi.
- Keheningan Mutlak: Sampai saat ini, Valve belum memberikan pengembalian uang, kompensasi, maupun permintaan maaf yang tulus. Tanggapan standar mereka merupakan penghinaan bagi setiap korban.
Motifnya: Keuntungan Di atas Kesejahteraan Manusia
Mengapa Valve membiarkan hal ini terjadi? Motifnya sesederhana sekaligus sinis: Harganya lebih murah.
Perombakan keamanan yang sesungguhnya — yang mencakup penerapan pengujian dalam lingkungan sandbox untuk semua build, pemisahan kredensial pengembang, perekrutan tim keamanan yang kompeten, serta penerbitan laporan transparansi — akan menelan biaya jutaan. Membayar ganti rugi kepada para korban akan menciptakan preseden yang mahal.
Alternatifnya? Mengeluarkan pernyataan yang samar dan menyesatkan, membiarkan pemberitaan berlalu, dan menanggung dampak negatif yang minimal bagi citra perusahaan. Itu adalah keputusan bisnis yang telah diperhitungkan, di mana keselamatan pengguna dianggap sebagai kerugian yang dapat diterima.
Pola kelalaian ini bukanlah hal baru. Mulai dari PirateFi (2024) hingga Chemia (2025), Valve telah berulang kali mengabaikan peringatan dan membiarkan malware masuk ke platformnya, serta baru bertindak setelah munculnya protes publik. BlockBlasters bukanlah kasus yang luar biasa; itu adalah akibat yang tak terelakkan dari budaya keamanan yang buruk.
Putusan Akhir: Bersalah sebagaimana dituduhkan
Biarkan fakta-fakta itu berbicara sendiri.
- Fakta: Sistem otomatis Valve menyetujui sebuah build yang mengandung malware yang tidak berbahaya.
- Fakta: Tim dukungan Valve mengabaikan peringatan langsung dari para korban selama tiga minggu.
- Fakta: Valve baru bertindak setelah para peretas itu sendiri menghapus berkas-berkas berbahaya tersebut.
- Fakta: Pernyataan resmi Valve merupakan penyajian fakta yang sengaja disalahartikan dengan tujuan menghindari pertanggungjawaban.
Valve bukan hanya gagal. Mereka berbohong. Mereka menutupi kelalaiannya sendiri, melindungi keuntungannya, dan membiarkan para penggunanya menanggung akibatnya. Kepercayaan yang diberikan komunitas kepada Steam telah hancur tak terpulihkan. Ini bukan sekadar kesalahan; ini adalah pengkhianatan.




