Dunia keamanan siber kembali diguncang oleh penemuan signifikan pada awal Desember 2025. Sebuah infrastruktur server yang berafiliasi dengan kelompok Ransomware-as-a-Service (RaaS) paling agresif, LockBit 5.0, berhasil dipetakan secara publik. Insiden ini bukan disebabkan oleh kecanggihan serangan balik defensif, melainkan sebuah kegagalan OPSEC (Operational Security) mendasar dari sisi afiliasi penyerang.
Temuan ini memberikan wawasan langka ke dalam “dapur pacu” operasional LockBit, mengungkap pola komunikasi, penyedia hosting yang digunakan (FranTech Solutions), serta koneksi dengan malware sekunder seperti Smokeloader.
Analisis Infrastruktur & Jaringan (Network Assessment)
Berdasarkan grafik relasi dan data Whois yang terekam, pusat dari eksposur ini adalah sebuah alamat IP spesifik yang menjadi node krusial dalam operasi mereka.
2.1. Titik Kegagalan: Server 205.185.116.233
Server ini diidentifikasi sebagai bagian dari backend operasional LockBit 5.0. Data teknis menunjukkan:
- Hosting Provider: AS53667 (PONYNET / FranTech Solutions).
- Analisis: FranTech/PonyNet dikenal di kalangan intelijen siber sebagai penyedia “bulletproof hosting” yang sering menampung konten abu-abu atau ilegal karena kebijakan takedown yang longgar. Pemilihan host ini konsisten dengan profil aktor ancaman.
- Waktu Deteksi: First Seen pada 6 Desember 2025, tak lama setelah pengungkapan publik.
- Indikator LockBit: Server menampilkan halaman perlindungan DDoS dengan branding eksplisit “LOCKBITS.5.0”. Ini adalah kesalahan konfigurasi fatal; alih-alih menyembunyikan identitas, server justru “meneriakkan” afiliasinya.
2.2. Kelalaian Konfigurasi Port (The OPSEC Lapse)
Pemindaian (scanning) terhadap IP tersebut mengungkapkan sejumlah open ports yang sangat berisiko, yang seharusnya tertutup rapat pada server C2 (Command and Control):
- TCP/3389 (RDP – Remote Desktop Protocol): Ini adalah celah paling fatal. Membiarkan RDP terbuka ke publik pada server operasional ransomware memungkinkan peneliti (atau aktor lain) untuk mencoba masuk, melakukan brute-force, atau mengidentifikasi OS yang berjalan (Windows).
- TCP/5985 (WinRM): Menunjukkan bahwa server ini dikelola menggunakan Windows Remote Management, mempermudah administrasi jarak jauh namun menambah attack surface.
- TCP/80 (HTTP) & TCP/21 (FTP): Menjalankan Apache 2.4.58 di atas Windows. Kombinasi ini menegaskan fungsi server sebagai staging server untuk mendistribusikan payload atau panel kontrol afiliasi.
Ekosistem Malware: Koneksi Graph Analysis

3.1. Domain Resolusi & Pengalihan
- karma0.xyz: Domain ini terhubung langsung ke IP target. TLD .xyz sering digunakan aktor jahat karena murah dan minim pengawasan.
- rodericwalter.com: Muncul dalam contacted URLs dan resolusi DNS. Ini kemungkinan besar adalah situs yang telah dikompromikan (compromised legitimate site) yang digunakan sebagai proxy atau relay agar lalu lintas jaringan terlihat sah.
- 911s5.pro: Resolusi ke domain ini sangat menarik. “911” historisnya terkait dengan layanan proxy residensial yang digunakan penjahat siber untuk menyembunyikan lokasi asli mereka. Kemunculan ini mengindikasikan upaya anonimisasi lalu lintas.
3.2. Asosiasi Payload (Communicating Files)
Analisis file yang berkomunikasi dengan server ini mengungkap pola serangan bertingkat:
- Smokeloader: Indikator menyebutkan adanya asosiasi dengan Smokeloader. Malware ini berfungsi sebagai “pintu gerbang”. Biasanya disebarkan via email phishing, Smokeloader akan mengunduh muatan utama (dalam hal ini, Ransomware LockBit 5.0).
- File Hash (MD5: e818…): Tanda tangan digital ini menjadi bukti forensik yang mengaitkan infrastruktur server dengan biner berbahaya yang tersebar di alam liar (in the wild).
Profil Ancaman: LockBit 5.0 (Varian September 2025)
Pengungkapan ini terjadi saat varian LockBit 5.0 sedang aktif-aktifnya. Berdasarkan kajian intelijen, varian ini memiliki kapabilitas yang lebih berbahaya dibanding pendahulunya (LockBit 3.0/Green):
- Enkripsi XChaCha20: Menggunakan algoritma enkripsi yang lebih cepat dan aman dibandingkan AES standar, membuat proses penyanderaan data korban terjadi dalam hitungan menit.
- Cross-Platform: Mendukung Windows, Linux, dan yang paling krusial, VMware ESXi. Menargetkan hypervisor ESXi adalah tren utama karena dapat melumpuhkan puluhan server virtual sekaligus dalam satu serangan.
- Geo-Evasion: Fitur pengecekan lokasi untuk menghindari enkripsi pada sistem yang berada di wilayah CIS (Rusia dan sekitarnya), memperkuat dugaan asal-usul aktor di balik layar.
- Randomized Extensions: Mempersulit upaya deteksi berbasis pattern sederhana oleh antivirus.
Kesimpulan Strategis & Rekomendasi
Tereksposnya infrastruktur LockBit 5.0 ini membuktikan bahwa faktor manusia tetap menjadi mata rantai terlemah, bahkan di sisi penyerang. Afiliasi LockBit mungkin memiliki alat canggih, namun kegagalan mengamankan infrastruktur backend (membuka RDP dan mengekspos panel admin) memberikan keuntungan besar bagi Blue Team (tim pertahanan).
Implikasi bagi Organisasi (Defender):
Temuan ini harus segera ditindaklanjuti dengan memperbarui Threat Intelligence Platform perusahaan.
Rekomendasi Mitigasi (Actionable Steps):
- Blokir IOC: Segera masukkan IP 205.185.116.233, domain karma0.xyz, dan hash terkait ke dalam blocklist Firewall dan EDR/XDR.
- Hunting Smokeloader: Lakukan threat hunting internal untuk mencari jejak infeksi Smokeloader. Jika ditemukan, asumsikan LockBit akan atau sudah mencoba masuk.
- Monitor Port RDP: Pastikan organisasi Anda tidak melakukan kesalahan yang sama. Tutup port 3389 yang menghadap publik dan gunakan VPN/MFA untuk akses jarak jauh.
- Patch Management: Mengingat server penyerang menggunakan eksploitasi Windows/Apache, pastikan server web perusahaan yang menghadap publik telah di-patch sepenuhnya.
Lampiran: Indikator Kompromi (IOC) Teknis
Network Indicators:
- IPv4: 205.185.116.233 (AS53667 – PONYNET)
- Domains: karma0.xyz, rodericwalter.com, 911s5.pro, us2.lilyco.cc
- URLs: https://rodericwalter.com/?id=LBXLBX&type=a
File Hash (MD5):
- e818a9afd55693d556a47002a7b7ef31 (Terkait Smokeloader/LockBit)
Karakteristik Server Penyerang:
- OS: Windows Server
- Services: Apache/2.4.58, OpenSSL/3.1.3, PHP/8.0.30
- Open Ports: 21, 80, 3389, 5000, 5985, 47001, 49666














