Langsung ke konten utama
Penyelidikan "Steam Bukan Orang Baik"

Keuntungan Diatas Pemain: Kasus Penyembunyian Fakta BlockBlasters (Skandal Steam, Bagian 1)

Kami meluncurkan serangkaian investigasi yang mengungkap kebenaran tersembunyi di balik Steam, mengungkap korupsi di balik operasinya, penyalahgunaan sistemik, eksploitasi, dan kelalaian yang telah merugikan jutaan pengguna, serta membongkar bagaimana sebuah monopoli global mengubah platform game menjadi mesin manipulasi dan perolehan keuntungan diam-diam.

Penyelidikan Steam BlockBlasters - Keuntungan Diatas Kepentingan Pemain

Temuan Penting

Steam dengan terang-terangan berbohong, melindungi para penjahat, dan menghalangi penyelidikan.

Pendahuluan: Tindak Pidana Kelalaian yang Disengaja

Pada Agustus 2025, platform game terbesar di dunia, Steam, tidak hanya mengalami pelanggaran keamanan; platform tersebut justru secara aktif memfasilitasi terjadinya pelanggaran tersebut. Melalui serangkaian kegagalan sistemik dan kelalaian yang parah, Valve membiarkan game tersebut BlockBlasters (AppID 3872350) dijadikan sebagai kuda Troya untuk kampanye malware yang merusak. Ini bukanlah serangan yang canggih dan tak terelakkan. Ini adalah operasi pencurian data yang sangat klasik, yang berhasil karena sistem keamanan Steam pada dasarnya sudah rusak. Selama 22 hari, malware tersebut mencuri ratusan ribu dolar, mengosongkan dompet kripto, dan membobol akun pengguna, sementara Valve tidak melakukan apa-apa.

Ketika kebenaran terungkap, respons Valve bukanlah untuk melindungi penggunanya, melainkan untuk melindungi citranya. Perusahaan tersebut mengeluarkan satu pernyataan yang menyesatkan, menyalahkan "akun pengembang yang diretas" — sebuah kebohongan yang menyedihkan yang dirancang untuk mengalihkan kesalahan dan melindungi diri dari tanggung jawab. Artikel ini akan membongkar kebohongan tersebut. Dengan menggunakan data forensik, analisis kronologi, dan kebijakan Valve sendiri, kami akan membuktikan bahwa insiden ini bukan sekadar kelalaian dalam bertindak, melainkan upaya penyembunyian yang disengaja atas kelalaian kriminal.

Garis waktu kelalaian perusahaan: Hari ke-1 malware dirilis, Hari ke-3 laporan pertama muncul, Hari ke-3 muncul beberapa peringatan, Hari ke-10 tidak ada tindakan apa pun sementara 1.489.500 korban terpapar, Hari ke-22 akhirnya dihapus
Garis waktu kelalaian perusahaan: Hari ke-1 malware dirilis, Hari ke-3 laporan pertama muncul, Hari ke-3 muncul beberapa peringatan, Hari ke-10 tidak ada tindakan apa pun sementara 1.489.500 korban terpapar, Hari ke-22 akhirnya dihapus

Identitas yang Terungkap

Steam dengan terang-terangan berbohong dan menyembunyikan identitas Valentin Lopes, pengembang terverifikasi di balik aplikasi berbahaya tersebut.

Jadwal 22 Hari Tanpa Tindakan

Valve memiliki waktu 22 hari untuk menghentikan hal ini. Laporan dari pengguna terus berdatangan, dan data platform menunjukkan tanda-tanda masalah yang jelas. Diamnya mereka adalah sebuah pilihan.

31 Juli 2025

BlockBlasters diluncurkan. Versi game yang bersih dan sah telah disetujui melalui proses verifikasi Steam.

30 Agustus 2025

Jebakan telah dipasang. Para penyerang merilis Patch Build 19799326. Pembaruan ini, yang berisi muatan malware, telah disetujui oleh Steam dan didistribusikan kepada semua pemain.

Awal September 2025

Para korban pertama mulai memberi peringatan. Para pengguna membanjiri Layanan Dukungan Steam dengan tiket yang melaporkan penggunaan CPU yang tidak wajar, lalu lintas jaringan yang mencurigakan, dan —yang paling kritis— mata uang kripto yang dicuri. Tiket-tiket ini seolah-olah masuk ke dalam lubang hitam, diabaikan oleh Valve.

6 September 2025

Data tersebut memberikan peringatan yang sangat jelas. Data telemetri publik dari SteamDB menunjukkan jumlah pemain anjlok hingga hanya tersisa satu digit, namun game tersebut masih terpasang di ratusan perangkat, dan diam-diam terus mencuri data. Ketidaksesuaian yang sangat besar ini merupakan tanda bahaya yang seharusnya sudah terdeteksi oleh sistem pemantauan yang kompeten.

21 September 2025

Komunitas pun bertindak. Para peneliti keamanan independen mengungkap infrastruktur perintah dan kendali malware yang berbasis Telegram, sehingga memaksa para peretas untuk bertindak.

22 September 2025

Buktinya tak terbantahkan. G DATA CyberDefense AG menerbitkan laporan forensik lengkap yang mengonfirmasi vektor serangan bertahap dari malware tersebut dan mengungkap detail teknis dari insiden kebocoran data tersebut.

Analisis Serangan Tersebut

Ini bukanlah malware yang canggih. Ini hanyalah gabungan yang sederhana namun efektif dari skrip-skrip umum dan program pencuri data yang seharusnya sangat mudah dideteksi oleh platform bernilai miliaran dolar.

Tahap 1: Kompromi Awal (game2.bat)

Payload awal, berupa skrip batch sederhana, melakukan pengintaian dasar: mengumpulkan alamat IP, lokasi geografis, dan detail pengguna Steam. Selanjutnya, payload tersebut mengunduh berkas ZIP yang dilindungi kata sandi (v1.zip)—sebuah teknik klasik untuk mengelabui pemindai otomatis yang sederhana.

Tahap 2: Pengelakan dan Eskalasi (VBS Loaders)

Dengan menggunakan skrip VBS, malware tersebut menjalankan komponen intinya di jendela perintah tersembunyi. Malware tersebut menambahkan direktori miliknya ke daftar pengecualian Microsoft Defender — suatu tindakan yang seharusnya memicu peringatan segera dengan prioritas tinggi pada sistem mana pun yang dipantau.

Tahap 3: Pencurian Data (Client-built2.exe & Block1.exe)

Dengan sistem pertahanan yang dinonaktifkan, malware tersebut meluncurkan muatan utamanya: sebuah backdoor berbasis Python untuk akses berkelanjutan dan varian dari infostealer StealC. Malware ini menargetkan data peramban, token sesi, dan—yang paling penting—dompet mata uang kripto dari Chrome, Edge, dan Brave. Semua data yang dicuri disalurkan ke dua server komando dan kontrol melalui lalu lintas HTTP yang tidak aman. Indikator Kompromi (IOC) dari crypto drainer tersebut mengonfirmasi bahwa Steam merupakan vektor distribusi malware untuk operasi pencurian terorganisir.

Kepercayaan yang Dikhianati

Justru sertifikat tepercaya yang mereka miliki dan sikap acuh tak acuh mereka itulah yang menyebabkan puluhan kasus pencurian yang mereka tutupi. Hal ini merupakan contoh klasik serangan rantai pasokan yang memanfaatkan eksploitasi kepercayaan terhadap platform dalam skala besar.

Indikator Kompromi (IOC)

BerkasSHA256Klasifikasi
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Membongkar Kebohongan: "Akun yang Diretas" Itu Benar-benar Omong Kosong

Penyembunyian Terungkap

Steam menyembunyikan kebenaran dan membantu para korban, sementara perusahaannya memeriksa para pengembang dan memberikan sertifikat kepercayaan tertinggi untuk konten mereka.

Mari kita sebut saja alasan Valve soal "pengembang yang diretas" itu apa adanya: kebohongan yang menyedihkan dan mudah dibantah. Ini merupakan penghinaan terhadap kecerdasan para penggunanya, sebuah narasi yang dirancang untuk melindungi mereka dari konsekuensi kelalaian mereka sendiri. Seluruh khayalan ini runtuh begitu Anda melihat prosedur wajib yang diterapkan Steam sendiri.

Penipuan Utama: Memanipulasi TKP Digital

Di sinilah upaya Valve untuk menutup-nutupi masalah ini berubah dari sekadar kelalaian menjadi sesuatu yang hanya bisa digambarkan sebagai merusak TKP digital. Mari kita nyatakan hal ini dengan jelas: Valve tidak menghapus game yang terinfeksi tersebut.

Bukti forensik dan analisis dari para peneliti keamanan yang melacak infrastruktur C2 menegaskan hal ini tanpa keraguan: para penjahat itu sendiri yang menghapus build berbahaya mereka dari server Steam. Mereka melakukan hal ini pada tanggal 21 September, tepat setelah grup kontrol Telegram mereka terungkap ke publik. Mereka melakukan taktik "bumi hangus" saat mundur, menghancurkan bukti untuk menutupi jejak mereka.

Mengutak-atik TKP digital — Tangan Steam/Valve menjulur melewati pita peringatan "Dilarang Melewati" sementara PhishDestroy melakukan penyelidikan dengan kaca pembesar
Mengutak-atik TKP digital — Tangan Steam/Valve menjulur melewati pita peringatan "Dilarang Melewati" sementara PhishDestroy melakukan penyelidikan dengan kaca pembesar

Klaim Valve bahwa mereka telah mengambil tindakan hanyalah kebohongan belaka. Dengan menunggu para penyerang menghapus jejak mereka sendiri sebelum turun tangan untuk menghapus halaman toko tersebut, Valve pada dasarnya membiarkan bukti utama dihancurkan. Ini bukanlah upaya penanggulangan dampak; ini adalah upaya menghalangi penyelidikan. Mereka tidak melindungi pengguna; mereka justru melindungi diri sendiri dengan memastikan TKP dibersihkan.

Dampak Manusiawi dari Ketidakpedulian Perusahaan

Kelalaian Valve telah menimbulkan konsekuensi nyata, namun perusahaan tersebut sama sekali tidak bertanggung jawab atas hal tersebut.

Motifnya: Keuntungan Di atas Kesejahteraan Manusia

Mengapa Valve membiarkan hal ini terjadi? Motifnya sesederhana sekaligus sinis: Harganya lebih murah.

Perombakan keamanan yang sesungguhnya — yang mencakup penerapan pengujian dalam lingkungan sandbox untuk semua build, pemisahan kredensial pengembang, perekrutan tim keamanan yang kompeten, serta penerbitan laporan transparansi — akan menelan biaya jutaan. Membayar ganti rugi kepada para korban akan menciptakan preseden yang mahal.

Alternatifnya? Mengeluarkan pernyataan yang samar dan menyesatkan, membiarkan pemberitaan berlalu, dan menanggung dampak negatif yang minimal bagi citra perusahaan. Itu adalah keputusan bisnis yang telah diperhitungkan, di mana keselamatan pengguna dianggap sebagai kerugian yang dapat diterima.

Pola kelalaian ini bukanlah hal baru. Mulai dari PirateFi (2024) hingga Chemia (2025), Valve telah berulang kali mengabaikan peringatan dan membiarkan malware masuk ke platformnya, serta baru bertindak setelah munculnya protes publik. BlockBlasters bukanlah kasus yang luar biasa; itu adalah akibat yang tak terelakkan dari budaya keamanan yang buruk.

Putusan Akhir: Bersalah sebagaimana dituduhkan

Biarkan fakta-fakta itu berbicara sendiri.

Valve bukan hanya gagal. Mereka berbohong. Mereka menutupi kelalaiannya sendiri, melindungi keuntungannya, dan membiarkan para penggunanya menanggung akibatnya. Kepercayaan yang diberikan komunitas kepada Steam telah hancur tak terpulihkan. Ini bukan sekadar kesalahan; ini adalah pengkhianatan.

Baca Laporan Investigasi Selengkapnya di Medium

Ini adalah cuplikan dari investigasi komprehensif kami yang terdiri dari beberapa bagian. Baca laporan lengkapnya yang dilengkapi dengan bukti tambahan, garis waktu, dan analisis.

Baca selengkapnya di Medium →
Kembali ke Berita
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

Penyelidikan Terkait

Lebih dari 150 Ekstensi Mozilla Palsu: Satu Backend, Satu Jaringan
PENYELIDIKAN
Lebih dari 150 Ekstensi Mozilla Palsu: Satu Backend, Satu Jaringan
$0 Takedowns: How We Disrupt Phishing Infrastructure
PENYELIDIKAN
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo, Webnic, NiceNIC: Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan
PENYELIDIKAN
NameSilo, Webnic, NiceNIC: Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →