Insikt Group menyajikan analisis pertama dari jenisnya tentang berbagai afiliasi Lumma yang beroperasi dalam ekosistem pencurian informasi (infostealing) yang luas dan saling terhubung. Infostealer Lumma telah ada sejak tahun 2022, dan ekosistemnya didukung oleh beragam pendukung operasional, termasuk jaringan proxy, virtual private networks (VPN), browser anti-detect yang dirancang untuk manajemen multi-akun, layanan exploit dan crypting, serta alat penghindaran deteksi yang dirancang untuk memastikan kerahasiaan dan keberlangsungan. Investigasi ini mengungkap tools yang sebelumnya tidak terdokumentasi dan menunjukkan bahwa afiliasi Lumma sering kali menjalankan beberapa skema secara bersamaan. Sebagai contoh, satu afiliasi diidentifikasi menjalankan penipuan sewa properti, sementara yang lain secara simultan memanfaatkan beberapa platform malware-as-a-service (MaaS), termasuk Vidar, Stealc, dan Meduza Stealer, kemungkinan untuk meningkatkan kelincahan operasional, meningkatkan tingkat keberhasilan, dan mengurangi risiko yang terkait dengan deteksi dan tindakan penegakan hukum. Selain itu, beberapa afiliasi Lumma terkait dengan persona pelaku ancaman yang berbeda di berbagai forum underground, yang memperkuat integrasi mendalam mereka dalam ekosistem kriminal siber yang lebih luas.
Dalam jangka pendek, para pihak bertahan (defenders) harus mematuhi praktik terbaik keamanan dengan memantau peristiwa exfiltration, menerapkan deteksi seperti aturan YARA, Sigma, dan Snort untuk mengungkap infeksi saat ini maupun yang lampau, membatasi unduhan dari situs web, dan berpotensi menggunakan allow-list. Organisasi harus melatih karyawan untuk mengenali tanda-tanda unduhan tidak sah, pengalihan (redirects) yang terkait dengan malvertising, dan teknik yang semakin umum seperti serangan ClickFix. Selain itu, pihak bertahan harus memantau dark web dan forum underground untuk kredensial yang bocor dan log malware. Dalam jangka panjang, pihak bertahan harus terus mengamati ekosistem kriminal siber untuk mengantisipasi ancaman yang muncul dan menyesuaikan kebijakan serta praktik keamanan yang sesuai.
Ke depannya, Insikt Group mengantisipasi bahwa MaaS Lumma dan jaringan afiliasinya akan tetap aktif, karena telah lama menjadi yang terdepan dalam ekosistem kriminal siber berkat kecanggihan teknisnya, adopsi cepat terhadap teknik-teknik baru, dan ketahanan yang telah terbukti, seperti yang ditunjukkan oleh kemampuannya untuk membangun kembali infrastruktur dalam beberapa hari setelah tindakan penegakan hukum besar-besaran. Meskipun dampak jangka panjang dari operasi semacam itu pada jaringan afiliasi MaaS Lumma masih belum pasti, tidak ada indikasi afiliasi meninggalkan platform tersebut atau munculnya alternatif yang layak. Pada akhirnya, Lumma dan afiliasinya mencontohkan bagaimana operasi kriminal siber modern beroperasi sebagai jaringan terdesentralisasi, di mana bahkan gangguan yang efektif sering kali hanya menghasilkan kemunduran jangka pendek. Untuk mencapai mitigasi yang berkelanjutan, diperlukan tekanan penegakan hukum yang persisten dan upaya intelijen yang terfokus untuk memantau dan melawan taktik yang terus berkembang dari masing-masing afiliasi.
Temuan Kunci
- Insikt Group menemukan tools yang sebelumnya tidak dilaporkan yang digunakan oleh afiliasi Lumma, termasuk tool validasi kredensial email yang di-crack yang beredar di forum underground dan sebuah phishing page generator yang terkait dengan aktor lain yang aktif di beberapa forum.
- Afiliasi Lumma terpantau menjalankan beberapa penipuan secara paralel, beberapa di antaranya dimungkinkan oleh penggunaan Lumma, seperti menggunakan log curian untuk penipuan sewa properti. Selain itu, beberapa afiliasi tampaknya menggunakan beberapa infostealer secara bersamaan, termasuk Vidar, Stealc, dan Meduza Stealer, untuk memaksimalkan tingkat keberhasilan dan mengurangi gangguan dari deteksi atau tindakan penegakan hukum.
- Afiliasi Lumma sangat bergantung pada forum underground dan forum carding khusus sebagai pusat operasional penting. Mereka memanfaatkan platform ini untuk merekrut kolaborator, mendapatkan sumber daya penting seperti layanan crypting dan layanan peningkat privasi, serta secara efisien memonetisasi kredensial curian, data keuangan, dan log infostealer melalui black market bawaan, fraud tools, dan jaringan dukungan yang didukung komunitas.
Latar Belakang
Lumma, terkadang disebut sebagai LummaC2, adalah infostealer paling tersebar luas pada tahun 2024 berdasarkan analisis infrastruktur berbahaya Recorded Future, dan meskipun menghadapi tindakan penegakan hukum pada Mei 2025, ia terus menjadi ancaman signifikan, secara aktif melakukan exfiltrating data dari individu, organisasi, dan pemerintah. Meskipun infostealer seperti Lumma kini menjadi ancaman yang dikenal luas dalam lanskap keamanan siber, banyak pertanyaan masih tersisa: Seperti apa hari-hari seorang afiliasi infostealer? Bagaimana cara mereka beroperasi, siapa mereka, aktivitas lain apa yang mereka geluti, di mana mereka berbasis, dan bagaimana log curian pada akhirnya digunakan?
Selama dua belas bulan terakhir (paruh kedua 2024 hingga paruh pertama 2025), Insikt Group telah melakukan investigasi komprehensif terhadap jaringan luas afiliasi Lumma yang beroperasi di berbagai negara. Dengan memanfaatkan berbagai sumber intelijen, termasuk dua manual panduan afiliasi (lihat Gambar 1), Recorded Future Malware Intelligence, log malware Recorded Future Identity Intelligence, dan metode investigasi eksklusif lainnya, Insikt Group telah mengungkap wawasan unik dan terperinci tentang operasi dan tradecraft afiliasi ini.

Temuan disajikan dalam dua bagian: Bagian pertama mengkaji ekosistem teknis afiliasi, merinci penggunaan teknik info-stealing, tools dan layanan yang disukai, serta perilaku operasional yang berulang. Bagian kedua mengeksplorasi bagaimana afiliasi Lumma tertanam dalam ekonomi underground yang lebih luas. Ini menganalisis partisipasi mereka di forum kejahatan siber, penggunaan keluarga malware infostealer tambahan, dan keterlibatan dalam jenis penipuan dan penipuan online lainnya.
Analisis Ancaman
Infrastruktur Operasional dan Tradecraft
Layanan Peningkat Privasi
Layanan Proxy
Insikt Group mengamati beberapa afiliasi Lumma memanfaatkan berbagai layanan proxy, yang dirinci dalam Tabel 1; Pia Proxy adalah layanan yang paling sering digunakan. Proxy dapat digunakan untuk tujuan yang sah seperti privasi dan penelitian, tetapi sering dieksploitasi oleh para penjahat siber untuk menutupi identitas, menghindari deteksi, dan melewati batasan. Beberapa layanan, seperti ASocks dan FACELESS yang berbasis malware, antara lain, telah dipasarkan secara terbuka di forum kejahatan siber; ASocks telah dikaitkan dengan VPN palsu yang mengubah perangkat Android menjadi proxy, sementara FACELESS memanfaatkan malware untuk membajak perangkat IoT untuk tujuan yang sama. Insikt Group mengevaluasi layanan proxy berdasarkan jenis berdasarkan beberapa kriteria, termasuk apakah mereka dipromosikan di forum kejahatan siber.
| Domain | Nama | Jenis | Prevalensi di Seluruh Afiliasi |
| piaproxy[.]com | PIA Proxy | Kriminal siber | Tinggi |
| ghostsocks[.]net | GhostSocks | Kriminal siber | Tinggi |
| asocks[.]com | ASocks | Kriminal siber | Sedang |
| faceless[.]cc | FACELESS | Kriminal siber | Sedang |
| hotsocks[.]biz | HotSocks | Kriminal siber | Sedang |
| hotsocks[.]ws | HotSocks | Kriminal siber | Sedang |
| nsocks[.]net | NSOCKS | Kriminal siber | Sedang |
| proxyline[.]net | Proxy Line | Kriminal siber | Sedang |
| vn5socks[.]net | VN5Socks | Kriminal siber | Sedang |
| gridpanel[.]net | GridPanel | Kemungkinan kriminal siber | Rendah |
| 3389rdp[.]com | RDP Shop | Tidak jelas | N/A |
| 922proxy[.]com | 922 Proxy | Kemungkinan kriminal siber dan mungkin rebranding dari 911 Proxy | N/A |
| smartproxy[.]pxf[.]io | Smartproxy | Tidak jelas | N/A |
| swiftproxy[.]io | Swift Proxy | Tidak jelas | N/A |
| Tabel 1: Layanan proxy yang digunakan oleh afiliasi Lumma (Sumber: Recorded Future) |
Perlu dicatat, pada awal 2024, Lumma mulai berkolaborasi dengan tim GhostSocks, sebuah plugin proxy residensial, yang memungkinkan afiliasi membuat proxy SOCKS5 dari bot yang terinfeksi, seperti yang diumumkan melalui saluran resmi Lumma (lihat Gambar 2). Pada tahun 2025, Lumma memperluas penawaran ini, menyediakan afiliasi dengan akses proxy backconnect ke mesin yang telah dikompromikan. Hal ini memungkinkan para pelaku ancaman untuk melakukan serangan yang seolah-olah berasal dari perangkat korban, secara signifikan meningkatkan kemampuan mereka untuk melewati kontrol akses seperti perlindungan berbasis cookie Google, sebuah mekanisme yang secara rutin dieksploitasi oleh Lumma untuk memperbarui token yang kedaluwarsa.

Setidaknya dalam satu kasus, Insikt Group mengidentifikasi seorang afiliasi Lumma yang terhubung dengan build ID vcs1q5 — dan dikenal sebagai “blackowl23” di forum kejahatan siber seperti Cracked, Nulled, Sinisterly, Eternia, dan Cracking selama 2022 dan 2023 — menggunakan alamat IP yang terkait dengan botnet Ngioweb. Botnet ini sebelumnya telah dikaitkan dengan layanan proxy kriminal siber NSOCKS, serta lainnya seperti VN5Socks dan Shopsocks5. Alamat IP terkait, yang kemungkinan besar tidak lagi menjadi bagian dari botnet karena pelaporan publik dan tindakan mitigasi lainnya, tercantum dalam Lampiran A. Banyak dari alamat IP tersebut sebelumnya telah divalidasi oleh Insikt Group dan dilaporkan secara publik.
Layanan VPN
Menurut penelitian yang dilakukan oleh Insikt Group, semua afiliasi Lumma yang dianalisis menggunakan layanan VPN dalam beberapa kapasitas, dengan banyak yang menggunakan beberapa penyedia. Pilihan layanan VPN yang diamati digunakan oleh afiliasi ini disajikan dalam Tabel 2.
| Domain | Nama Layanan | Prevalensi di Seluruh Afiliasi |
| expressvpn[.]com | ExpressVPN | Sedang |
| nordvpn[.]com | NordVPN | Sedang |
| protonvpn[.]com | Proton VPN | Sedang |
| surfshark[.]com | Surfshark VPN | Sedang |
| tunnelbear[.]com | TunnelBear | Sedang |
| Tabel 2: Layanan VPN yang digunakan oleh afiliasi Lumma selama setahun terakhir (Sumber: Recorded Future) |
Browser Anti-Detection dan Multi-Akun
Afiliasi Lumma sering mengandalkan browser khusus yang berfokus pada privasi dan anti-detect (lihat Tabel 3) untuk menghindari identifikasi, melewati langkah-langkah keamanan, dan mengelola beberapa akun penipuan secara bersamaan. Tools ini memungkinkan pelaku ancaman untuk menjaga keamanan operasional (OPSEC) dengan mengaburkan identitas, lokasi, dan sidik jari digital mereka yang sebenarnya. Di antara browser yang paling lazim digunakan oleh afiliasi Lumma adalah Dolphin, yang diakui secara luas sebagai salah satu browser anti-detect terbaik yang dirancang secara eksplisit untuk mengelola beberapa akun yang dikendalikan oleh pelaku ancaman tanpa terdeteksi. Kemampuan Dolphin dicerminkan oleh Adspower, Hidemyacc, dan Kameleo, yang juga memfasilitasi operasi multi-akun yang mulus, sehingga meningkatkan efisiensi operasional dan anonimitas. Octo Browser, tool terkemuka lainnya di kalangan penjahat siber, menyediakan penyamaran sidik jari tingkat lanjut, yang semakin mempersulit upaya penegak hukum dan profesional intelijen ancaman untuk melacak aktivitas ancaman ke sumbernya.
Browser Brave, meskipun dirancang terutama untuk meningkatkan privasi pengguna daripada anti-detection secara langsung, menarik bagi pelaku ancaman karena fitur keamanan dan privasi bawaannya yang kuat, seperti pemblokiran iklan dan pelacak yang agresif. Meskipun tidak secara eksplisit dirancang untuk manajemen multi-akun, pendekatan yang berfokus pada privasi memberikan perlindungan dasar yang berharga bagi pelaku ancaman yang ingin menjaga anonimitas online.
| Browser | Domain | Prevalensi di Seluruh Afiliasi |
| Dolphin | dolphin-anty[.]com | Tinggi |
| Octo Browser | octobrowser[.]net | Tinggi |
| Brave | brave[.]com | Sedang |
| Adspower | adspower[.]com | Rendah |
| Hidemyacc | hidemyacc[.]com | Rendah |
| Kameleo | kameleo[.]io | Rendah |
| Tabel 3: Browser anti-detect untuk manajemen multi-akun yang digunakan oleh afiliasi Lumma (Sumber: Recorded Future) |
Penyedia Hosting
Meskipun Lumma menyediakan infrastruktur inti C2 melalui penawaran MaaS-nya, afiliasinya mengandalkan penyedia hosting terpisah yang kemungkinan ditujukan untuk mendukung upaya phishing, penyebaran payload, dan aktivitas berbahaya lainnya. Banyak penyedia hosting yang terkait dengan afiliasi Lumma yang dianalisis tampak sah, tetapi beberapa menonjol karena tampaknya melayani secara langsung para penjahat siber dan memungkinkan aktivitas berbahaya, termasuk AnonRDP, Bulletproof Hosting, dan Hostcay, yang telah digunakan oleh afiliasi Lumma yang terkait dengan build ID re0gvc.
AnonRDP
AnonRDP (anonrdp[.]com) adalah penyedia hosting bulletproof yang memproklamirkan diri, berspesialisasi dalam layanan VPS dan RDP anonim, dengan fokus kuat pada privasi dan ketahanan terhadap takedown (lihat Gambar 3). Ia tidak memerlukan verifikasi identitas dan hanya menerima pembayaran mata uang kripto, seperti Bitcoin dan Monero, yang diproses melalui penyedia layanan pembayaran NOWPayments dan, kabarnya, bursa mata uang kripto ChangeNOW. Toleransinya terhadap aktivitas berbahaya lebih lanjut dikonfirmasi oleh iklan di forum deep web seperti BreachForums, Hack Forums, Nulled, dan Patched. Seperti yang diilustrasikan pada Gambar 3, situs web tersebut secara eksplisit mengakui mendukung kegiatan seperti hosting, mendistribusikan, atau mengendalikan botnet, remote access trojans (RATs), phishing, konten penipuan, spam, dan lainnya. Menurut laporan publik, AnonRDP dioperasikan oleh Yashvir Keshave, seorang individu dengan riwayat keterlibatan yang diketahui dalam ekosistem underground, termasuk pembuatan config (konfigurasi), cracking tools, dan perdagangan akun digital.

Setelah penangkapan Yuri Meruzhanovich Bozoyan, salah satu pendiri dan CEO Aeza Group LLC, pada 1 April 2025, Insikt Group mengamati bahwa AnonRDP telah mencoba membajak pelanggan Aeza dengan diskon 50%. Tingkat keberhasilan pembajakan tersebut masih belum pasti.
Bulletproof Hosting
Demikian pula, Bulletproof Hosting (bulletproofhosting[.]org) memasarkan dirinya sebagai penyedia hosting offshore yang berpusat pada privasi yang menawarkan infrastruktur anonim dan tahan takedown, menerima pembayaran mata uang kripto, dan tidak memiliki persyaratan ID (lihat Gambar 4). Situs web ini mempromosikan kebijakan konten yang longgar, secara eksplisit mengizinkan materi dewasa, pembajakan, perjudian, dan konten lain yang biasanya dilarang oleh host konvensional. Ia mengklaim dapat bertahan dari pemberitahuan DMCA, keluhan penyalahgunaan, dan daftar Spamhaus, menggunakan teknik seperti FastFlux dan hosting di fasilitas offshore atau yang diperkuat dengan pengawasan peraturan minimal. Dengan dukungan 24/7 yang dikelola oleh “pakar teknologi siber” yang mereka sebut sendiri, platform ini diposisikan sebagai layanan tangguh yang melayani pengguna yang mencari anonimitas dan uptime yang konsisten, yang sering kali menarik bagi pelaku ancaman dan operator konten kontroversial.

HostCay
HostCay (hostcay[.]com) adalah penyedia hosting offshore yang berfokus pada privasi, didirikan pada tahun 2023 dan dioperasikan oleh Netacel Inc., sebuah perusahaan bisnis internasional (IBC) yang terdaftar di Seychelles. HostCay mengkhususkan diri dalam layanan hosting yang memprioritaskan kebebasan berbicara, dukungan whistleblower, dan penolakan terhadap permintaan penghapusan konten (lihat Gambar 5). Ia dikenal karena dukungannya terhadap pembayaran kripto anonim, tidak adanya persyaratan ID, dan perlindungan kebebasan berbicara yang kuat.
Afiliasi Lumma juga telah diamati memanfaatkan berbagai penyedia dan layanan hosting yang sah, termasuk platform file hosting MEGA (mega[.]nz), layanan berbagi file dan teks Temp[.]sh (temp[.]sh), dan layanan image hosting ImgBB (imgbb[.]com). Mereka juga telah menggunakan berbagai layanan pemendek URL seperti shorturl[.]at dan free-url-shortener[.]rb[.]gy.
Layanan Exploit dan Crypting
Salah satu layanan penting yang mendukung operasi Lumma dijalankan oleh seorang aktor yang dikenal sebagai “@cryptexxx.” Alih-alih menjadi afiliasi Lumma secara langsung, @cryptexxx adalah operator layanan crypting dan exploit yang dikenal sebagai Hector (diiklankan melalui domain hector[.]su) yang melayani distributor malware, antara lain (lihat Gambar 6). Konten HTML dari hector[.]su menyertakan meta keywords — seperti crypt, exe, exploits, chrome, bypass, lnk, url, xls, xll, doc, docx, pdf, builder, macro, atau popup — yang menunjukkan toolkit luas untuk membuat payload berbahaya di berbagai format file (dari makro Office hingga exploit Chrome). Diskusi di forum menguatkan bahwa layanan ini menyediakan dropper dan exploit dokumen yang fully undetectable (FUD) untuk mengirimkan malware. Sebagai contoh, seorang pengguna forum peretas secara eksplisit mengarahkan orang lain untuk “melihat URL exploit di hector[.]su” sebagai sumber daya untuk exploit FUD yang dapat dilampirkan ke Gmail. Exploit semacam itu sering kali berbentuk file Office yang dipersenjatai, seperti file add-in Excel berbahaya (.XLL) atau dokumen yang mengandung makro, yang dapat menyematkan payload Lumma dan dirancang untuk melewati pemindai email dan perlindungan antivirus.
Bukti terbaru menggambarkan bagaimana tools ini digunakan dalam praktik. Pada pertengahan 2025, seorang vendor underground mengiklankan exploit Office yang diperbarui yang “terkini, berfungsi pada tahun 2025 dan dapat dilampirkan di Gmail, plus FUD,” secara eksplisit membanggakan bahwa ia dapat melewati filter Gmail. Penawaran yang sama juga menyoroti bypass runtime Windows Defender, dengan laporan pemindaian AV menunjukkan 0/26 deteksi. Ini berarti afiliasi Lumma dapat menghasilkan file yang telah di-trojan (seperti file Excel .xll atau file pintasan/URL berbahaya) yang mengirimkan stealer sambil menghindari pemindaian gateway email dan perlindungan antivirus di endpoint.
Dengan memanfaatkan layanan crypting dan exploit builder dari @cryptexxx, afiliasi pada dasarnya melakukan outsourcing pada aspek-aspek sulit dari kerahasiaan dan pengiriman. Ini adalah contoh nyata dari sifat kooperatif operasi LummaC2: pengembang malware menyediakan malware infostealer, operator layanan (@cryptexxx) menyediakan toolkit obfuscation dan exploit, dan afiliasi menggunakan tools ini untuk mendistribusikan payload kepada korban.

Layanan dan Tools Terkait Email
Insikt Group mengamati beberapa afiliasi Lumma menggunakan berbagai layanan terkait email dan spam, termasuk tool validasi kredensial yang dikenal sebagai “EMAIL SOFTWARE 1.4.0.9 cracked by Maksim” dan tool pembuatan halaman phishing yang dikenal sebagai “DONUSSEF”, keduanya kemungkinan telah digunakan setidaknya dalam satu kasus yang terkonfirmasi.
EMAIL SOFTWARE 1.4.0.9 cracked by Maksim
EMAIL SOFTWARE 1.4.0.9 cracked by Maksim adalah versi crack dari tool verifikasi kredensial email berbasis Windows .NET (lihat Gambar 7). Tool ini dirancang untuk memvalidasi kombinasi email dan kata sandi terhadap server email menggunakan protokol seperti IMAP dan POP3. Pengguna dapat memasukkan daftar besar kredensial email (sering disebut sebagai “combo lists“) untuk memeriksa kombinasi mana yang valid. Tool ini juga memungkinkan pengguna untuk mencari kata kunci spesifik dalam konten email. Tool ini didistribusikan sebagai arsip .rar yang dilindungi kata sandi di berbagai forum peretasan dan cracking (seperti DemonForums atau XReactor), dengan pengguna melaporkan harga hingga $250 di pasar underground.
![Gambar 7: EMAIL SOFTWARE 1.4.0.9 cracked by Maksim diiklankan di forum[.]cnsec[.]org (Sumber: urlscan.io)](https://kelascyber.com/storage/2025/08/media_19f74fdb6628756b01d6a3be60a6c5d348409ede9.webp)

Insikt Group menilai bahwa afiliasi Lumma, blackowl23, telah atau terus menggunakan tool ini untuk memvalidasi kredensial curian, yang kemudian dimanfaatkan dalam penipuan real estat lanjutan yang dirinci di bagian Keterlibatan blackowl23 dalam Penipuan Real Estat, di antara penipuan lainnya. Berdasarkan konfigurasi yang diidentifikasi, ada kemungkinan afiliasi tersebut telah menyesuaikan tool ini.
DONUSSEF
Insikt Group mengidentifikasi tool lain, yang dikenal sebagai “DONUSSEF”, yang didemonstrasikan dalam video yang dapat diakses publik yang di-host di Google Drive pada saat analisis (lihat Gambar 9). Diyakini digunakan oleh blackowl23, tool ini dirancang untuk menghasilkan halaman phishing melalui command line menggunakan AI. Ia meminta pengguna untuk memasukkan URL, baris subjek, dan deskripsi singkat tentang konten phishing yang dimaksud, dan kemudian menghasilkan file HTML sebagai output.

Jangkauan penuh halaman phishing yang dapat dihasilkan oleh tool ini masih belum jelas, karena Insikt Group tidak dapat mengujinya secara independen. Dalam demo, itu ditunjukkan hanya membuat halaman phishing PayPal (lihat Gambar 10). Karena tidak tersedianya halaman HTML yang sebenarnya, Insikt Group tidak dapat menilai keefektifannya atau menentukan apakah halaman tersebut telah muncul dalam kampanye yang diketahui.

Melalui investigasi lebih lanjut, Insikt Group mengidentifikasi sebuah kanal YouTube yang kemungkinan terkait dengan dugaan pembuat DONUSSEF. Aktor tersebut menggunakan kanal tersebut untuk mendemonstrasikan setidaknya dua tools tambahan: satu dipasarkan sebagai pengirim email dengan tingkat pengiriman kotak masuk 100%, dan satu lagi untuk spamming SMS (disebut sebagai “ULTRA-checker.py” dalam video). Kedua video tersebut diunggah pada 18 Desember 2022, dari perangkat yang menggunakan pengaturan bahasa Prancis. Dalam salah satu video demo, aktor tersebut menggunakan dan mengakses dua akun email, ussefescobar@seznam[.]cz dan ussefakkar@outlook[.]com, yang diyakini terkait dengan aktor tersebut.
Tool ULTRA-checker.py menyertakan referensi ke dua kanal Telegram: @donussef dan @rdpvendor. Setidaknya salah satu dari akun ini tampaknya aktif di komunitas Telegram yang terkait dengan tools terkait spam (lihat Gambar 11). Insikt Group tidak menemukan tautan tambahan antara dugaan pembuat DONUSSEF dan blackowl23.

Layanan Pengirim Email dan Lead Generation Lainnya
Insikt Group mengidentifikasi beberapa layanan terkait email lainnya yang sering kali sah yang digunakan oleh afiliasi Lumma untuk berbagai tujuan, termasuk Joz Data (jozdata[.]com), Mailchimp (mailchimp[.]com), Spamir (spamir[.]fr), dan Mandrill (mandrillapp[.]com), di antara lainnya. Joz Data menyediakan daftar email yang divalidasi dan tersegmentasi untuk pemasaran dan lead generation. Mailchimp adalah platform sah untuk merancang dan mengelola kampanye email. Spamir menawarkan tools untuk pengiriman email dan SMS massal, sering dikaitkan dengan aktivitas spam atau phishing meskipun disajikan sebagai toolkit pengujian. Mandrill, add-on berbayar untuk Mailchimp, adalah API email transaksional yang digunakan untuk mengirim pesan satu-ke-satu yang dipicu oleh peristiwa seperti reset kata sandi dan konfirmasi pesanan melalui SMTP atau API.
AVCheck dan Alternatifnya
Seperti banyak pelaku ancaman yang menyebarkan malware atau infrastruktur terkait, afiliasi Lumma secara aktif mencari tools untuk menguji deteksi di luar lingkungan sandbox standar. Selama dua belas bulan terakhir, Insikt Group mengamati beberapa afiliasi menggunakan setidaknya dua layanan semacam itu: AVCheck (avcheck[.]net), yang disita oleh penegak hukum pada Mei 2025; dan, baru-baru ini, KleenScan (kleenscan[.]com). Ada juga tanda-tanda bahwa setidaknya satu afiliasi menggunakan avscan[.]net, meskipun keberadaan dan sifatnya tidak dapat dikonfirmasi pada saat analisis, karena domain tersebut tampaknya terdaftar untuk dijual.
KleenScan adalah layanan pemindaian malware alternatif yang sering digunakan oleh dan dipasarkan kepada penjahat siber untuk menguji file, URL, dan domain berbahaya terhadap beberapa mesin antivirus (lihat Gambar 12). Ia menawarkan antarmuka pengguna, API, dan klien command-line, dan bahkan bot Telegram (@kleenscanofficialbot) untuk unggahan dan pemindaian waktu nyata atau runtime, sambil secara eksplisit menjanjikan kebijakan “Tanpa Distribusi” sehingga sampel yang dikirim tidak akan dibagikan dengan vendor antivirus. Meskipun Insikt Group mengamati afiliasi Lumma menggunakan KleenScan sebelum penyitaan AVCheck pada Mei 2025, pelaporan publik menunjukkan bahwa penjahat siber semakin beralih ke platform seperti KleenScan sebagai alternatif karena penyitaan tersebut. Perlu dicatat, KleenScan mengiklankan hector[.]su (lihat Gambar 12), seorang pialang exploit yang dirinci lebih lanjut di bagian Layanan Exploit dan Crypting.

Layanan Telepon dan SMS
Afiliasi Lumma sangat menyalahgunakan layanan telepon dan SMS virtual (lihat Tabel 4) seperti OnlineSim, SMS-Activate, dan Zadarma. Platform ini menyediakan nomor telepon sekali pakai untuk verifikasi SMS atau suara, yang digunakan oleh pelaku ancaman untuk melewati keamanan berbasis OTP dan membuat akun palsu tanpa menggunakan pengenal pribadi. Afiliasi Lumma dapat secara otomatis menerima kode 2FA atau PIN aktivasi pada nomor virtual, memungkinkan mereka mendaftarkan situs distribusi malware, cloud drives, atau akun perpesanan tanpa mengekspos saluran telepon asli mereka. Obfuscation identitas ini sangat penting dalam ekosistem Lumma, karena membuat frustrasi upaya atribusi dan takedown dengan membuat kepemilikan infrastruktur tampak sementara.
Dalam praktiknya, penggunaan layanan ini untuk bypass OTP dan pembuatan akun palsu membantu kru Lumma memperluas permukaan serangan mereka. Nomor SMS sekali pakai memungkinkan penyerang menghindari otentikasi dua faktor berbasis SMS dengan mengalihkan one-time passcodes ke kotak masuk yang dikendalikan penyerang. Ini berarti bahwa bahkan jika akun yang dicuri dilindungi oleh 2FA SMS, afiliasi Lumma dapat mencoba mengalihkan OTP ke nomor virtual yang mereka kontrol, yang secara efektif meniadakan perlindungan tersebut. Layanan seperti Zadarma (penyedia VoIP) lebih lanjut memungkinkan para penjahat untuk menerima panggilan atau teks pada saluran virtual, atau bahkan melakukan panggilan suara yang di-spoofing sebagai bagian dari bot pencegat OTP dan skema vishing. Dalam program afiliasi Lumma, panduan dan obrolan komunitas mendorong penggunaan tools ini untuk keamanan operasional, mulai dari mendaftarkan email dan akun Telegram sekali pakai hingga menyiapkan panel C2 atau akun pembayaran penipuan.
| Nama Layanan | Domain | Catatan |
| OnlineSim | onlinesim[.]io | Penyedia eSim Sekali Pakai |
| SMS-Activate | sms-activate[.]org | Penyedia eSim Sekali Pakai |
| SMS-Activate | sms-activate[.]io | Penyedia eSim Sekali Pakai |
| Zadarma | zadarma[.]com | Layanan VoIP |
| Tabel 4: Layanan terkait telepon dan SMS yang digunakan oleh afiliasi Lumma (Sumber: Recorded Future) |
Platform Perpesanan
Afiliasi Lumma mengintegrasikan beberapa tools perpesanan aman dan berbagi informasi ke dalam alur kerja harian mereka untuk meningkatkan keamanan operasional, menjaga anonimitas, dan meminimalkan jejak digital. Afiliasi biasanya menggunakan uTox, klien perpesanan peer-to-peer terdesentralisasi yang menggunakan enkripsi end-to-end melalui protokol Tox. Tool ini memfasilitasi komunikasi yang persisten dan aman, mendukung pesan teks, suara, dan video, dan sering dikombinasikan dengan proxy Tor untuk menyembunyikan identitas afiliasi dan menghindari ketergantungan pada server pusat.
Afiliasi seluler dalam ekosistem Lumma lebih memilih aplikasi Android berbasis XMPP yang aman seperti Xabber dan c0nnect[.]pro. Kedua aplikasi ini menawarkan komunikasi terenkripsi melalui enkripsi off-the-record, manajemen multi-akun, dan kompatibilitas dengan server XMPP pribadi yang terkontrol, menjadikannya ideal untuk koordinasi rahasia saat bepergian. Afiliasi sering mengkonfigurasi aplikasi ini untuk berjalan bersamaan dengan proxy Tor, yang selanjutnya mengaburkan metadata dan mengurangi paparan digital.
Untuk skenario yang memerlukan transmisi informasi sensitif dan sementara, seperti kredensial, kata sandi, atau instruksi, afiliasi Lumma sering mengandalkan Privnote, layanan berbasis web yang menghasilkan catatan terenkripsi yang akan hancur sendiri setelah dibaca sekali. Kemampuan ini secara signifikan mengurangi potensi jejak forensik afiliasi dengan tidak meninggalkan catatan yang persisten dan memungkinkan pertukaran detail operasional yang aman dan cepat.
Secara kolektif, tools ini membentuk arsitektur komunikasi berlapis yang digunakan oleh afiliasi Lumma, secara efektif menyeimbangkan komunikasi yang persisten, fleksibilitas seluler, dan pertukaran aman sementara untuk meminimalkan risiko dan meningkatkan kerahasiaan.
Optimasi Media Sosial
Setidaknya dalam satu kasus, Insikt Group mengamati seorang afiliasi Lumma memanfaatkan layanan Bosslike (bosslike[.]ru), yang mengklaim menawarkan peningkatan gratis dan cepat untuk likes di platform seperti Instagram, VK, dan TikTok (lihat Gambar 13), kemungkinan untuk mendukung kegiatan terkait penipuan.

Keterlibatan Afiliasi dalam Ekosistem Kriminal Siber
Keterlibatan di Forum
Ekosistem afiliasi Lumma berkembang pesat di forum underground yang berfungsi sebagai pusat kolaborasi, sumber daya, dan pasar. Forum kejahatan siber berbahasa Rusia seperti XSS dan Exploit berfungsi sebagai landasan peluncuran untuk MaaS Lumma, dan di sinilah stealer tersebut awalnya diiklankan dan diperiksa oleh komunitas. Forum-forum ini menarik para pelaku ancaman yang cakap secara teknis dan memberikan kredibilitas pada penawaran malware baru melalui sistem reputasi dan pengawasan moderator. Afiliasi sering mengunjungi forum-forum ini tidak hanya untuk mendapatkan build Lumma tetapi juga untuk terlibat dengan layanan escrow dan arbitrase tepercaya, memastikan transaksi yang lebih aman saat membeli tools atau menyelesaikan perselisihan dengan mitra. Kepercayaan yang terbangun di forum seperti Exploit dan XSS menyediakan lingkungan yang andal bagi afiliasi untuk berbisnis, mulai dari menyewa server hingga menyelesaikan konflik, di bawah pengawasan moderator berpengalaman.

Pada saat yang sama, komunitas kejahatan siber pasar massal seperti LolzTeam (zelenka[.]guru) telah menjadi sarang untuk merekrut dan melatih para prajurit operasi Lumma. Forum-forum yang lebih mudah diakses ini menjadi tuan rumah bagian khusus untuk “traffers,” pelaku ancaman yang berspesialisasi dalam menyebarkan malware infostealer, dan secara aktif digunakan untuk membentuk tim afiliasi dan mendidik para pendatang baru. Di LolzTeam, misalnya, para penjahat berpengalaman mengiklankan program afiliasi infostealer yang menyediakan semua yang dibutuhkan oleh para pemula untuk mulai mendistribusikan malware. Dalam satu kasus, sebuah tim di LolzTeam menawarkan build Lumma yang telah di-crypt secara gratis dan bahkan dukungan SEO kepada rekrutan baru, dengan mengambil persentase keuntungan dari aset mata uang kripto yang dicuri. Hambatan masuk yang rendah ini, dikombinasikan dengan tutorial yang diposting di forum tentang teknik penipuan dan keamanan operasional, mengubah platform seperti LolzTeam menjadi sumber tenaga kerja untuk distribusi infostealer. Proses pemeriksaan yang didorong oleh komunitas forum, termasuk aturan yang melarang penargetan wilayah tertentu dan umpan balik publik tentang skema, lebih lanjut membantu afiliasi mempelajari taktik yang efektif dan “dapat diterima”. Metodologi penipuan umum sering didiskusikan dan dipopulerkan di papan ini, memberikan wawasan kepada afiliasi Lumma tentang trik monetisasi dan strategi manipulasi korban.
Mungkin yang paling penting, forum-forum underground ini menyediakan pasar dan layanan siap pakai yang dimanfaatkan oleh afiliasi Lumma untuk memonetisasi data curian dan mengoptimalkan kampanye mereka. Log infostealer sangat diminati, dan forum menghubungkan afiliasi ke pasar yang ramai di mana data ini dibeli dan dijual. Russian Market (rm1[.]to), misalnya, adalah toko otomatis yang dapat diakses melalui lingkaran forum yang telah digambarkan sebagai “Amazon kredensial curian” karena inventarisnya yang besar dan kemudahan pembelian sekali klik. Pada akhir 2024, Lumma telah menjadi sumber kredensial dominan di Russian Market, menyumbang sekitar 92% dari daftar log curian, menggarisbawahi seberapa luas afiliasi Lumma membuang hasil curian mereka di platform semacam itu untuk mendapatkan keuntungan. Tempat lain seperti pasar milik LolzTeam sendiri dan xleet[.]pw juga menyertakan bagian untuk log infostealer, akun yang dikompromikan, dan barang digital, memungkinkan afiliasi untuk dengan cepat menjual data dari infeksi Lumma kepada penawar tertinggi. Di luar penjualan data, pasar forum menghubungkan afiliasi Lumma dengan pialang akses awal dan layanan penipuan keuangan yang membantu mengubah informasi curian menjadi uang tunai. Afiliasi dapat menemukan pembeli untuk kredensial login perusahaan atau mendaftar layanan pencucian uang dan cash-out yang diiklankan di seluruh forum ini.
Forum underground juga berfungsi sebagai toko serba ada untuk dukungan teknis dan operasional yang dibutuhkan oleh afiliasi Lumma. Thread khusus yang dijalankan oleh pengembang Lumma atau anggota komunitas sejawat menawarkan bantuan teknis, pengumuman pembaruan, dan saran pemecahan masalah secara real-time. Ini berarti seorang afiliasi dapat beralih ke komunitas forum untuk mendapatkan bantuan dengan konfigurasi builder, tips penghindaran antivirus, atau untuk berbagi intelijen tentang takedown penegak hukum. Forum-forum ini juga menampung berbagai layanan yang berdekatan dengan malware yang penting untuk menjalankan kampanye secara sembunyi-sembunyi. Penyedia hosting bulletproof, VPN, dan distribusi lalu lintas berkumpul di semua forum utama. Penyedia layanan yang sama sering beriklan di beberapa situs, yang memudahkan afiliasi untuk mendapatkan server dan domain web yang tangguh untuk menjadi host malware Lumma. Layanan crypting juga sama mudahnya diakses; misalnya, crypter Cassandra yang populer dan lainnya dipromosikan di pasar forum, memungkinkan afiliasi untuk terus mengenkripsi dan mengemas ulang payload Lumma untuk menghindari deteksi antivirus.
Ada ekosistem penawaran yang kaya, seperti exploit kit, templat dokumen palsu, penyewaan spambot, dan pemeriksa kredensial, yang dapat diperoleh afiliasi dari komunitas ini untuk meningkatkan operasi mereka. Bersama-sama, forum-forum ini menyediakan serangkaian tools komprehensif kepada afiliasi Lumma yang telah diperiksa oleh komunitas. Nilai praktis dan operasional inilah yang menjadi alasan mengapa jaringan afiliasi Lumma tetap tertanam kuat di forum underground: mereka tidak hanya menyediakan sarana untuk menyebarkan dan menyembunyikan malware, tetapi juga mekanisme untuk menguangkan hasilnya, semuanya dalam komunitas semi-terstruktur yang menegakkan kepercayaan di antara para pencuri.
Toko Carding
Afiliasi Lumma Stealer beralih ke toko carding khusus seperti b1ackstash[.]cc, stashpatrick[.]io, BriansClub (lihat Gambar 15) (bclub[.]cm dan briansclub[.]cm), dan binsoficial666[.]activo[.]mx untuk secara efisien memonetisasi data keuangan yang telah mereka curi. Insikt Group mencatat bahwa sumber-sumber ini sangat bervariasi dalam kredibilitas; toko seperti BriansClub dianggap otoritatif dalam ekosistem penipuan pembayaran, sementara binsoficial666[.]activo[.]mx memiliki reputasi yang sangat buruk. Tidak seperti papan kejahatan siber umum, situs web carding didedikasikan untuk perdagangan data pembayaran dan menarik basis pelanggan bawaan para penipu yang mencari nomor kartu kredit, login bank, dan info pribadi. Afiliasi Lumma memanfaatkan permintaan ini dengan menjual catatan kartu yang baru diperoleh dan “fullz” secara massal, sering kali mendapatkan persentase untuk setiap penjualan melalui sistem escrow atau toko forum. Intinya, platform carding memungkinkan afiliasi Lumma dengan cepat mengubah data kartu curian menjadi keuntungan, dengan outlet volume tinggi seperti BriansClub secara historis memperdagangkan jutaan kartu yang dikompromikan yang dipasok oleh afiliasi malware.

Di luar penjualan, forum carding menawarkan dukungan operasional untuk penipuan yang tidak disediakan oleh forum peretasan yang lebih luas. Afiliasi Lumma sering mengunjungi komunitas ini untuk belajar dan berkolaborasi dalam penipuan card-not-present (CNP) menggunakan kredensial kartu curian untuk membeli barang atau mencuci uang secara online. Forum-forum ini menyelenggarakan tutorial yang telah diperiksa untuk menyalahgunakan situs e-commerce dan prosesor pembayaran, membantu para pencuri melewati tindakan anti-penipuan. Anggota juga mengiklankan layanan kriminal seperti menyediakan alamat “drop” (titik pengiriman aman untuk barang yang dibeli dengan kartu curian) atau mengubah pembelian ilegal menjadi uang tunai. Selain itu, forum-forum ini menyediakan tools dan layanan validasi yang penting untuk operasi penipuan. Afiliasi Lumma dapat membeli atau mengakses pemeriksa kartu kredit yang secara otomatis menguji kartu mana dari log stealer mereka yang masih valid dan memiliki kredit yang tersedia, memastikan mereka hanya menghabiskan waktu pada kartu yang aktif. Mereka mungkin juga memperoleh daftar Bank Identification Number (BIN) dan utilitas lainnya, menggunakan sumber daya gabungan komunitas untuk memaksimalkan transaksi yang berhasil. Situs carding memungkinkan afiliasi Lumma untuk melepas rampasan infostealer secara massal, melengkapi penjualan di forum kejahatan yang lebih luas. Satu infeksi Lumma menghasilkan log kredensial yang luas, cookie, data sistem, dan sering kali beberapa akun keuangan; mem-parsing dan menjual setiap aset secara individual bisa jadi padat karya. Pasar carding atau toko data pelanggaran terkait memungkinkan afiliasi menjual kembali seluruh log stealer atau kumpulan data spesifik ke penjahat lain yang berspesialisasi dalam mengeksploitasinya. Misalnya, log bernilai tinggi dari Lumma, yang tidak hanya berisi kartu tetapi juga kata sandi akun bank atau kunci dompet mata uang kripto, sering diposting di pasar underground atau ditawarkan melalui vendor bot otomatis tak lama setelah exfiltration. Praktik ini memungkinkan afiliasi Lumma untuk memonetisasi informasi curian dalam skala besar: mereka dapat dengan cepat menjual bundel log baru ke pialang atau jaringan penipuan sambil memfokuskan upaya mereka sendiri pada infeksi baru. Bersamaan dengan forum peretasan umum, forum carding ini menyediakan ekosistem untuk menguangkan hasil Lumma. Mereka menawarkan ekonomi underground serba ada di mana afiliasi mengubah data curian menjadi uang melalui penjualan langsung CVV dan “fullz,” penyediaan panduan dan tools untuk transaksi penipuan, dan penjualan kembali log curian secara massal. Ini secara signifikan meningkatkan profitabilitas dan kepraktisan operasi Lumma.
Penggunaan Infostealer Tambahan
Insikt Group mengamati beberapa afiliasi Lumma memanfaatkan infostealer lain di samping Lumma.
Meduza Stealer, Vidar, dan CraxsRAT Digunakan oleh Afiliasi Lumma yang Kemungkinan Berbasis di Meksiko
Afiliasi yang terkait dengan build ID Lumma re0gvc, seorang pelaku ancaman yang kemungkinan berbasis di Meksiko yang beroperasi di bawah beberapa alias di berbagai forum, diamati menggunakan infrastruktur Meduza Stealer yang terikat dengan alamat IP 195[.]133[.]18[.]15. Seperti Lumma, Meduza Stealer adalah infostealer MaaS berbasis Windows, yang dirancang untuk mengekstrak kredensial, data browser, dan dompet kripto sambil menghindari deteksi melalui teknik anti-analisis dan geo-filtering.
![Gambar 16: Panel Meduza Stealer di hxxp://195[.]133[.]18[.]15/auth/login (Sumber: urlscan.io)](https://kelascyber.com/storage/2025/08/media_1fc9ce08a94a9aadc2929d15f0d26e439cfe92201.webp)

Stealc Digunakan oleh Afiliasi Lumma suffergrime
Afiliasi lain yang terkait dengan build ID Lumma test222 dan eLMNFu, yang dikenal sebagai “suffergrime” di berbagai forum dan beroperasi di bawah beberapa alias lain, termasuk duckfuck, cryptplease, ultracool2201, borodach, dan dedo4ek, tampaknya telah menggunakan StealC di samping Lumma. Stealc adalah information stealer modular dan evasif yang ditulis dalam C dan didistribusikan sebagai MaaS. Lebih spesifik, suffergrime telah diamati berinteraksi dengan panel manajemen Stealc di URL hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php. Insikt Group menilai bahwa afiliasi tersebut kemungkinan adalah penutur bahasa Spanyol, dengan indikasi yang menunjukkan kemungkinan berasal dari Amerika Selatan.
Minat worldmix10k pada Wallet dan Vilsa Stealer
Selain kasus-kasus di atas, Insikt Group mengamati seorang afiliasi Lumma yang terkait dengan build ID 1dacrp dan kemungkinan dikenal sebagai “worldmix10k” menyatakan minat pada dua stealer tambahan: sebuah “Wallet Stealer” yang sebelumnya di-host di repositori GitHub bernama “poopybuthoop”, dan Vilsa Stealer, sebuah infostealer yang telah dilaporkan secara publik sebelumnya. Meskipun repositori GitHub tidak lagi dapat diakses pada saat analisis, sebuah salinan historis dilestarikan oleh Ecosyste.

Perlu dicatat, pencarian untuk string “worldmix10k” membawa Insikt Group ke sampel Lumma dengan build ID “1dacRP–worldmix10k”, yang terhubung ke afiliasi yang sama. Sampel ini menggunakan techmindzs[.]live dan earthsymphzony[.]today sebagai domain C2-nya, serta URL SteamCommunity, hxxps://steamcommunity[.]com/profiles/76561199822375128, untuk dead drop resolving. Insikt Group tidak dapat mengidentifikasi rantai infeksi yang tepat yang terkait dengan sampel tersebut.
Keterlibatan dalam Penipuan Lainnya
Analisis beberapa afiliasi Lumma selama dua belas bulan terakhir mengungkapkan bahwa banyak dari mereka tidak hanya menggunakan beberapa infostealer secara bersamaan, seperti yang diuraikan di bagian Penggunaan Infostealer Tambahan, tetapi juga kemungkinan terlibat dalam berbagai operasi penipuan yang berbeda. Salah satu penipuan ini, yang terkait dengan afiliasi Lumma yang dikenal sebagai blackowl23, menarik perhatian khusus dari Insikt Group dan dieksplorasi lebih detail di bawah ini.
Keterlibatan blackowl23 dalam Penipuan Real Estat
Insikt Group menemukan bukti yang menunjukkan bahwa blackowl23 telah terlibat dalam penipuan real estat di mana daftar sewa, kemungkinan baik yang dibuat oleh aktor maupun yang dikompromikan, di platform seperti situs web Jerman WG-Gesucht digunakan untuk menipu korban agar melakukan pembayaran sebelum melihat apartemen. Sebagai bagian dari skema ini, blackowl23 telah menggunakan alamat email immo-total[@]outlook[.]com dan mwimport[@]outlook[.]de (lihat Gambar 19).

Lebih spesifiknya, afiliasi tersebut mengklaim telah memiliki “pengalaman buruk di masa lalu dengan orang-orang yang ingin menyewa properti,” menyatakan bahwa ketika mereka “sampai di properti, tidak ada seorang pun di sana,” yang mengakibatkan “janji temu bisnis yang dibatalkan, membuang-buang waktu dan uang.” Menggunakan ini sebagai pembenaran, mereka meminta korban untuk melakukan pembayaran melalui Booking.com, menegaskan bahwa prosesnya aman dan korban akan mendapatkan pengembalian dana jika mereka tidak puas dengan apartemen (lihat Gambar 20). Perlu dicatat, path URL yang sama (property-aid-63785823-label-gen-832513841233) yang diamati dalam aktivitas ini juga terlihat di URL tahap akhir dari kampanye penipuan sewa yang dilaporkan oleh Fortian pada tahun 2024. Dalam kasus itu, korban ditipu untuk memesan akomodasi, dan domain yang digunakan tampaknya merupakan varian typosquatting, booking[.]eu-apt-booking[.]homes, yang di-host melalui Cloudflare.
Insikt Group juga menemukan bukti pendukung bahwa afiliasi tersebut menggunakan skema serupa: mengklaim memiliki agen escrow di seluruh dunia, mengirimkan tautan pembayaran kepada korban untuk mengamankan reservasi, dan berjanji bahwa dana akan dengan aman dan ditransfer ke “salah satu rekening bank [mereka] yang tersedia.” Dalam kasus ini, Insikt Group tidak dapat memulihkan tautan pembayaran yang sebenarnya.

Meskipun afiliasi tersebut mungkin telah membuat akun mereka sendiri di platform seperti WG-Gesucht, bukti menunjukkan bahwa mereka memiliki sejumlah besar kredensial WG-Gesucht yang dikompromikan. Insikt Group berhipotesis bahwa setidaknya beberapa dari kredensial ini dicuri melalui infeksi Lumma afiliasi. Dalam konteks ini, penting untuk dicatat bahwa meskipun menjual log umumnya menguntungkan, nilai kredensial tertentu, seperti untuk platform seperti WG-Gesucht, kemungkinan berasal dari penggunaannya dalam penipuan lanjutan daripada penjualan kembali secara langsung, yang mungkin menjelaskan mengapa beberapa pembeli mungkin menunjukkan minat terbatas pada mereka.
Prospek
Investigasi unik Insikt Group terhadap afiliasi Lumma mengungkap ekosistem infostealing besar yang didukung oleh beragam tools dan layanan, termasuk proxy, VPN, browser anti-detect, exploit kit, layanan crypting, dan tools deteksi malware. Selama investigasi, Insikt Group mengidentifikasi tools yang sebelumnya tidak dilaporkan dan menunjukkan bagaimana afiliasi sering menjalankan beberapa penipuan secara paralel, seperti penipuan sewa, sambil memanfaatkan infostealer tambahan seperti Vidar, Stealc, dan Meduza Stealer, kemungkinan untuk meningkatkan tingkat keberhasilan dan mengurangi dampak deteksi atau gangguan penegakan hukum. Ke depannya, afiliasi Lumma kemungkinan akan lebih mendiversifikasi kehadiran mereka di forum-forum khusus dan ceruk, berintegrasi lebih dalam dengan platform yang berfokus pada mata uang kripto dan ekosistem perpesanan terenkripsi, yang mempersulit upaya deteksi dan gangguan.
Meskipun banyak taktik dan tools tampak terstandarisasi di seluruh afiliasi, yang kemungkinan dipengaruhi oleh panduan bersama yang disediakan oleh operator Lumma MaaS, perbedaan operasional yang berarti tetap ada. Nuansa ini sangat penting bagi para pihak bertahan, karena memahami perilaku afiliasi individu menawarkan gambaran yang lebih jelas tentang bagaimana ancaman spesifik muncul dan berkembang dalam ekosistem yang lebih luas. Selain itu, temuan ini menggarisbawahi bahwa banyak afiliasi Lumma bukan peserta biasa, tetapi aktor yang tertanam dengan ikatan mendalam pada dunia underground kriminal siber. Adopsi mereka terhadap rangkaian tools berlapis dan diversifikasi di berbagai keluarga malware menunjukkan kematangan dan kemampuan beradaptasi.
Ke depannya, meskipun upaya penegakan hukum baru-baru ini untuk sementara mengganggu infrastruktur Lumma, pemulihan cepat grup dengan perubahan minimal menggarisbawahi ketahanan dan disiplin operasionalnya. Dampak jangka panjang dari upaya penegakan hukum pada afiliasi individu bergantung pada kemampuan Lumma untuk membangun kembali kepercayaan dan mempertahankan mereka, tujuan yang dikejar melalui pemulihan infrastruktur yang cepat, komunikasi proaktif, dan kemungkinan peningkatan fitur. Secara lebih luas, operasi penegakan hukum baru-baru ini menggarisbawahi bagaimana operasi kriminal siber modern berfungsi sebagai jaringan terdesentralisasi, di mana bahkan gangguan yang berhasil cenderung hanya memiliki efek jangka pendek. Mitigasi berkelanjutan akan memerlukan tekanan penegakan hukum yang berkelanjutan dan intelijen yang ditargetkan untuk melacak taktik yang berkembang dari afiliasi individu, selain berusaha untuk mengganggu infrastruktur Lumma.
Lampiran A — Alamat IP Terkait Botnet Ngioweb yang Digunakan oleh Afiliasi Lumma blackowl23
| Alamat IP | Port | ASN |
| 162[.]210[.]192[.]136 | 60136 | AS30633 |
| 174[.]138[.]176[.]77 | 26714 | AS19318 |
| 174[.]138[.]176[.]78 | 59315 | AS19318 |
| 195[.]154[.]43[.]189 | 41623 | AS12876 |
| 209[.]159[.]153[.]19 | 37726 | AS19318 |
| 212[.]83[.]137[.]94 | 59351 | AS12876 |
| 212[.]83[.]138[.]186 | 60126 | AS12876 |
| 212[.]83[.]138[.]245 | 50029 | AS12876 |
| 212[.]83[.]143[.]103 | 55734 | AS12876 |
| 212[.]83[.]143[.]118 | 10696 | AS12876 |
| 212[.]83[.]143[.]159 | 50297 | AS12876 |
| 212[.]83[.]143[.]191 | 14618 | AS12876 |
| 38[.]91[.]107[.]229 | 64336 | AS63023 |
| 38[.]91[.]107[.]2 | 56581 | AS63023 |
| 51[.]83[.]116[.]4 | 50610 | AS16276 |
| 66[.]29[.]129[.]52 | 24732 | AS22612 |
| 67[.]213[.]210[.]115 | 55168 | AS13213 |
| 67[.]213[.]212[.]50 | 10718 | AS13213 |
Lampiran B — Indikator Kompromi (IoCs)
Alamat IP Ngioweb:
- 38[.]91[.]107[.]2
- 38[.]91[.]107[.]229
- 51[.]83[.]116[.]4
- 66[.]29[.]129[.]52
- 67[.]213[.]210[.]115
- 67[.]213[.]212[.]50
- 162[.]210[.]192[.]136
- 174[.]138[.]176[.]77
- 174[.]138[.]176[.]78
- 195[.]154[.]43[.]189
- 209[.]159[.]153[.]19
- 212[.]83[.]137[.]94
- 212[.]83[.]138[.]186
- 212[.]83[.]138[.]245
- 212[.]83[.]143[.]103
- 212[.]83[.]143[.]118
- 212[.]83[.]143[.]159
- 212[.]83[.]143[.]191
Sampel Lumma:
- b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630
Panel Meduza:
- hxxp://195[.]133[.]18[.]15/auth/login
Panel Stealc:
- hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php
Lampiran C — Teknik MITRE ATT&CK
| Taktik: Teknik | Kode ATT&CK |
| Pengembangan Sumber Daya: Memperoleh Infrastruktur: Domain | T1583.001 |
| Pengembangan Sumber Daya: Memperoleh Infrastruktur: Server Pribadi Virtual | T1583.003 |
| Pengembangan Sumber Daya: Memperoleh Infrastruktur: Server | T1583.004 |
| Pengembangan Sumber Daya: Memperoleh Akses | T1650 |
| Pengembangan Sumber Daya: Mendapatkan Kemampuan: Tool | T1588.002 |
| Pengembangan Sumber Daya: Mengkompromikan Akun: Akun Email | T1586.002 |
| Perintah dan Kontrol: Proxy: Proxy Eksternal | T1090.002 |
Pelajaran Kunci dari Operasi Afiliasi Lumma
Artikel ini mengungkap bahwa operasi afiliasi infostealer Lumma bukanlah pekerjaan amatir atau tindakan kriminal siber yang terisolasi. Sebaliknya, mereka adalah operator canggih yang bekerja di dalam sebuah ekosistem kriminal yang terorganisir, profesional, dan sangat tangguh.
- Ini adalah Sebuah Ekosistem, Bukan Sekadar Malware. Ancaman utamanya bukanlah malware Lumma itu sendiri, melainkan seluruh infrastruktur pendukungnya. Afiliasi Lumma sangat bergantung pada jaringan layanan kriminal lainnya—mulai dari penyedia proxy dan VPN anonim, layanan crypting untuk menyembunyikan malware, hingga browser anti-detect untuk mengelola banyak identitas palsu. Ini adalah ekonomi kriminal yang berfungsi penuh.
- Satu Pelaku, Banyak Serangan (Diversifikasi Risiko). Afiliasi Lumma sangat oportunistis dan tidak hanya mengandalkan satu sumber pendapatan. Mereka secara aktif menjalankan beberapa skema penipuan sekaligus (seperti penipuan sewa properti) dan menggunakan berbagai jenis infostealer secara bersamaan (Lumma, Vidar, Stealc). Ini adalah strategi bisnis untuk memaksimalkan keuntungan dan memastikan kelangsungan operasi jika salah satu malware atau skema mereka berhasil dideteksi dan diblokir.
- Pentingnya Komunitas Underground. Forum underground (seperti XSS, LolzTeam) dan toko carding (seperti BriansClub) adalah jantung dari operasi ini. Tempat ini bukan hanya untuk membeli dan menjual data curian, tetapi juga berfungsi sebagai pusat perekrutan, pusat berbagi pengetahuan, tempat mendapatkan tools, dan pasar untuk memonetisasi hasil kejahatan mereka dengan cepat dan efisien. Tanpa komunitas ini, operasi mereka tidak akan seefektif sekarang.
- Ketangguhan dan Sifat Terdesentralisasi. Meskipun penegak hukum berhasil melakukan takedown terhadap infrastruktur Lumma, mereka dapat pulih dengan sangat cepat. Ini menunjukkan bahwa operasi modern seperti ini bersifat terdesentralisasi dan tangguh. Menghancurkan satu server atau menangkap satu aktor tidak akan melumpuhkan seluruh jaringan. Mereka sudah siap dengan rencana cadangan.
Apa Artinya Ini Bagi Pihak Bertahan (Defenders)?
- Pertahanan Harus Berlapis: Melawan ancaman seperti ini tidak cukup hanya dengan antivirus. Diperlukan pendekatan keamanan berlapis yang mencakup pemantauan aktivitas jaringan untuk mendeteksi pencurian data (exfiltration), membatasi unduhan yang tidak sah, dan menggunakan allow-list aplikasi.
- Faktor Manusia Sangat Penting: Banyak infeksi awal berasal dari taktik seperti malvertising atau phishing. Melatih karyawan untuk mengenali unduhan palsu dan tautan berbahaya adalah lapisan pertahanan yang sangat krusial.
- Intelijen Ancaman Proaktif Diperlukan: Organisasi tidak bisa lagi hanya bersikap reaktif. Memantau forum dark web dan underground untuk kredensial yang bocor atau diskusi tentang malware baru dapat memberikan peringatan dini sebelum serangan terjadi.
- Mitigasi adalah Maraton, Bukan Sprint: Upaya penegakan hukum dan intelijen untuk melawan kelompok-kelompok ini harus berkelanjutan dan persisten. Tindakan “sekali pukul” hanya akan menjadi kemunduran sementara bagi mereka.
Pada intinya, pembelajaran ini menunjukkan bahwa melawan ancaman siber modern seperti Lumma bukan lagi sekadar perang teknis, melainkan perang melawan ekosistem ekonomi kriminal yang terorganisir, adaptif, dan gigih.














