Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ID / MOZ FAKE EXTENSIONS PAID MEDIA

Lebih dari 150 Ekstensi [REDACTED] Palsu: Satu Backend, Satu Jaringan

The Enablers Registry·Editorial mirror·/id/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigasi • Waktu baca: 6—8 menit

Lebih dari 150 Ekstensi [REDACTED] Palsu — Satu Sistem Belakang & Iklan Berbayar

Media menyalahkan “beruang-beruang Rusia” atas lebih dari 150 ekstensi [REDACTED] palsu. Temuan kami menunjukkan adanya infrastruktur di Nigeria (IP 185.208.156.66), kit possibly phishing yang digunakan kembali, serta bagaimana artikel berbayar turut menyebarkan mitos tersebut.

Awalnya diterbitkan pada Medium — THE ENABLERS REGISTRY

Narasi yang Menyesatkan

Sebuah cerita tentang "Lebih dari 150 ekstensi [REDACTED] palsu" Berita yang dikaitkan dengan dugaan "jejak Rusia" itu disebarluaskan secara luas di berbagai media utama yang meliput kripto dan keamanan. Kedengarannya dramatis, tetapi analisis kami menunjukkan bahwa narasi ini menyesatkan — dan yang lebih parah lagi, hal itu melindungi para pelaku sebenarnya.

Lebih dari 150 Ekstensi Berkualitas Rendah pada Satu Backend

Semua ekstensi dalam kampanye ini adalah:

  • Tidak orisinal, sekadar salin-tempel.
  • Hanya logo dan namanya saja yang berbeda.
  • Semuanya terhubung ke sebuah backend tunggal.
Alamat IP Backend: 185.208.156.66
Domain backend-nya adalah [REDACTED]/app.php. Sebagian besar domain yang terkait dengan alamat IP ini kini sudah tidak aktif, namun arsip-arsip tersebut menyimpan cuplikan halaman melalui Urlscan dan WebArchive.

Tindakan Kami Terhadap Kampanye Ini

Sebagai kelompok intelijen ancaman independen yang berspesialisasi dalam penghapusan infrastruktur possibly phishing dan penipuan, kami:

  • Melaporkan langsung ke [REDACTED] untuk menandai ekstensi berbahaya.
  • Diteruskan ke [REDACTED], meminta bantuan profesional untuk mempercepat proses pelarangan.
  • Menerbitkan laporan di Chainabuse untuk meningkatkan visibilitas komunitas.
  • Menyisipkan jutaan frasa benih kosong ke dalam sistem backend para penyerang untuk mengacaukan data yang dicuri.

Mengapa Ini Bukan Infrastruktur "Rusia"

Pelaku ancaman berbahasa Rusia biasanya menggunakan:

  • Backend terdistribusi (IANA #1910 Workers, Firebase, Amazon, tautan unik per kampanye).
  • Teknik pengaburan dan redundansi untuk menghindari titik kegagalan tunggal.

Sebaliknya, kampanye ini justru menunjukkan:

  • A Penyedia layanan hosting asal Nigeria.
  • Domain-domain tetangga yang terkait dengan penipuan perbankan, dompet kripto palsu, dan penipuan pengiriman palsu.
  • Sebuah akun [REDACTED] yang menerima data curian yang terkait dengan sebuah Operator asal Nigeria.
"Kelompok-kelompok asal Rusia membangun infrastruktur yang canggih. Infrastruktur ini murah, terpusat, dan sederhana — persis seperti yang pernah kami lihat sebelumnya di server-server Nigeria."

Masalah Media Berbayar

Penempatan iklan berbayar menimbulkan konsekuensi serius:

  1. Satu artikel berbayar di media ternama berhasil diterbitkan.
  2. Ratusan situs web kecil, blog, dan saluran [REDACTED] menyalin ulang atau menerjemahkannya.
  3. Dalam hitungan hari, hal itu berubah menjadi narasi palsu yang sangat besar dengan kesan seolah-olah kredibel.
"Para korban melihat 'jejak Rusia', menganggap kasus ini sudah ditutup, dan berhenti melapor ke pihak berwenang. Para pelaku kejahatan yang sesungguhnya tetap lolos dari hukuman."

Contoh: Angel Drainer

Semua media besar memuat berita utama tentang "Angel Drainer dihentikan setelah para pengembang mengidentifikasinya." Namun, apakah itu benar — ataukah hanya iklan berbayar lain yang diulang-ulang hingga tampak meyakinkan? Bagi para penjahat, membeli artikel hanyalah uang receh; bagi para korban, hal itu mengubah segalanya.

Perusahaan Keamanan Siber yang Mengelola Sendiri Hubungan Masyarakatnya

Perusahaan keamanan siber membayar puluhan ribu dolar untuk artikel yang membahas tentang diri mereka, penelitian mereka, dan dampaknya. Hal ini memunculkan pertanyaan mendasar:

  • Mengapa sebuah tim keamanan siber yang sesungguhnya perlu membayar untuk mendapatkan perlindungan?
  • Apakah mereka berusaha menyembunyikan jejak peretas yang sebenarnya?
  • Atau memanfaatkan identitas peretas tersebut untuk pemerasan atau keuntungan kompetitif?
  • Apakah tujuannya untuk memperkuat kepercayaan — atau memanipulasi persepsi demi keuntungan?
"Jika keamanan siber berubah menjadi sekadar permainan humas, di mana fakta-fakta ditentukan oleh siapa yang membayar lebih banyak, maka kepercayaan di bidang ini akan runtuh."

Bukti dari Pasar

Praktik tersebut tidak disembunyikan:

  • Di Fiverr, Upwork, dan pasar PR khusus, Anda dapat langsung membeli "artikel tamu."
  • Penyedia layanan mengirimkan Google Sheets yang berisi puluhan toko dan harga — termasuk merek-merek keamanan siber ternama.
  • Ada yang menjanjikan: "dengan biaya tambahan, tidak ada label sponsor."

Tujuan yang disebutkan dalam pembelian artikel antara lain:

  • Pembangunan Tautan (SEO).
  • Lalu Lintas & Penjualan.
  • Kesadaran Merek.
  • Manajemen Reputasi (menutupi hal-hal negatif).
  • Verifikasi Sosial.
  • Daftar Publikasi untuk Permohonan Visa.

Biaya yang disebutkan mencakup, antara lain, $20,000 untuk slot wawancara berbayar dari media kripto ternama.

"Ini bukan jurnalisme. Ini adalah pasar — tempat kredibilitas dibeli dan dijual."

Bisnis vs. Kebohongan

Menerbitkan konten berbayar bukanlah tindakan ilegal — itu adalah bisnis. Namun, ketika hal itu melampaui batas menyebarkan klaim palsu, mengalihkan arah penyelidikan, dan menyamarkan upaya humas sebagai fakta, hal itu justru menjadi bagian dari masalah.

Kesimpulan

THE ENABLERS REGISTRY adalah inisiatif keamanan siber independen yang tidak menerima bayaran, tidak menjual iklan, dan tidak mencari keuntungan. Faktanya jelas:

  • Lebih dari 150 ekstensi [REDACTED] dialihkan ke satu server backend yang berlokasi di Nigeria.
  • Data tersebut dikirim ke sebuah akun [REDACTED] asal Nigeria.
  • Narasi "jejak Rusia" itu hanyalah rekayasa belaka.
  • Liputan media berbayar memperkuat kabar bohong ini hingga tampak seolah-olah benar.
  • Bahkan perusahaan keamanan siber sendiri pun mengeluarkan biaya untuk promosi diri.
"Menjual iklan adalah bisnis. Menjual kebohongan sebagai fakta melindungi para penjahat. Dan ketika bahkan sektor keamanan siber pun ikut menjual narasi, para korban — dan keadilan — yang rugi."

Pernyataan Penolakan Tanggung Jawab

Kami tidak menuduh siapa pun, baik individu, perusahaan, maupun media mana pun. Semua fakta bersumber dari sumber terbuka dan dapat diverifikasi melalui arsip publik, hasil pemindaian, dan laporan. Pertanyaan sebenarnya: Mengapa narasi semacam itu dikendalikan dan disebarluaskan? Siapa yang diuntungkan ketika sebuah perusahaan keamanan yang tidak dikenal menerbitkan hasil investigasi besar-besaran yang tidak akurat, yang mengalihkan perhatian dari pihak-pihak yang sebenarnya terlibat?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Bagikan Investigasi Ini

Penyelidikan Terkait

[REDACTED] TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
PENYELIDIKAN
[REDACTED] TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
Malware [REDACTED] BlockBlasters: Kelalaian Platform Terungkap
PENYELIDIKAN
Malware [REDACTED] BlockBlasters: Kelalaian Platform Terungkap
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Diurai

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings