Kategori: Forensik Digital & OSINT Tingkat Kesulitan: Mudah Estimasi Waktu Baca: 8–10 menit

Pendahuluan

Writeup ini mendokumentasikan sebuah tantangan investigasi forensik digital yang melibatkan penyusupan ke forum kriminal rahasia. Skenarionya berawal dari serangan phishing terhadap sebuah perusahaan logistik, yang kemudian mengarahkan investigator ke sebuah forum online terselubung.

Misi utama: identifikasi para tersangka, ungkap rencana mereka, dan lacak infrastruktur operasional mereka sebelum semuanya terlambat.

Forum dapat diakses di: https://advent-of-the-relics-forum.htb.blue Password login (ditemukan dari investigasi sebelumnya): SnowBlackOut_2026!

Disclaimer: The scenario portrayed in this challenge is entirely fictional and created solely for educational and entertainment purposes. Any resemblance to actual persons, living or dead, organizations, or real events is purely coincidental and unintentional. All characters, scenarios, and data presented are products of imagination.

Metodologi

Pendekatan yang digunakan dalam investigasi ini mengikuti metodologi forensik forum dan OSINT terstruktur:

  1. Akses & Rekognisi: Login ke forum menggunakan kredensial yang telah ditemukan
  2. Analisis Anggota: Pemetaan semua pengguna dan peran mereka
  3. Analisis Thread & Pesan: Ekstraksi detail operasional dari diskusi forum
  4. Pelacakan Infrastruktur: Identifikasi domain C2, server, dan logistik
  5. Geolokasi: Penggunaan koordinat GPS dan tool seperti What3Words untuk menentukan lokasi

Task 1

How many suspects are using this forum?

Berapa jumlah tersangka yang menggunakan forum ini?

Setelah login, navigasikan ke bagian Members atau tinjau semua profil pengguna yang terlihat. Hitung semua akun unik yang terdaftar di forum.

None

Answer

5

Task 2

What is the username of the group's leader?

Apa username pemimpin kelompok ini?

Telusuri thread-thread forum, terutama bagian pengumuman atau perencanaan. Pemimpin biasanya adalah orang yang memulai diskusi utama, mendelegasikan tugas, dan menetapkan timeline operasional.

None

Answer

Curator

Task 3

What is Driver_BUD's real first name?

Apa nama depan asli dari Driver_BUD?

Cari melalui pesan pribadi atau informasi profil yang terkait dengan pengguna Driver_BUD. Detail personal kadang disebutkan secara tidak sengaja dalam thread percakapan ini adalah kegagalan OPSEC klasik.

None

Answer

Daniel

Task 4

What is the codename of the operation?

Apa nama sandi dari operasi ini?

Nama ini direferensikan berkali-kali di seluruh thread forum, terutama di bagian perencanaan dan koordinasi. Operasi ini dinamai berdasarkan musim dan sifat serangan yang direncanakan.

None

Answer

Winter Blackout

Task 5

What single word is the trigger code that activates all nodes?

Apa satu kata yang menjadi kode pemicu untuk mengaktifkan semua node?

Di dalam thread perencanaan operasional, kelompok ini mendiskusikan sebuah kata aktivasi tunggal yang memulai semua sistem mereka secara bersamaan. Cari diskusi seputar fase eksekusi.

None

Answer

Frost

Task 6

What is the name of the fake exhibition used as cover for the heist?

Apa nama pameran palsu yang digunakan sebagai kedok untuk aksi ini?

Kelompok ini membutuhkan tampilan yang terlihat sah. Mereka merencanakan acara budaya palsu sebagai alibi. Telusuri diskusi logistik dan alibi di forum.

None

Answer

Miracles of Winter

Task 7

What time was the single word trigger scheduled to execute on New Year's Eve?

Pada jam berapa kode pemicu dijadwalkan dieksekusi pada Malam Tahun Baru?

Waktu eksekusi disebutkan dalam thread timeline operasional. Dijadwalkan tepat sebelum tengah malam pada Malam Tahun Baru untuk dampak maksimal.

None

Answer

23:59:50

Task 8

What is the full name of the phishing target at CALE?

Siapa nama lengkap target phishing di CALE?

Forum berisi referensi ke kampanye phishing awal yang mengkompromikan perusahaan logistik CALE. Nama lengkap target disebutkan dalam briefing operasi.

None

Answer

Kamil Poltavez

Task 9

What make and model is the truck used for transport?

Apa merek dan model truk yang digunakan untuk transportasi?

Kelompok ini mendiskusikan logistik dan transportasi untuk memindahkan aset hasil aksi. Detail truk ditentukan dalam thread perencanaan logistik.

None

Answer

Volvo FH

Task 10

What is the name of Ledgers cat?

Apa nama kucing milik Ledger?

Percakapan personal di forum kadang mengungkap detail dunia nyata. Ledger secara tidak sengaja menyebut nama kucingnya dalam obrolan di luar topik kegagalan OPSEC yang nyata.

None

Answer

Satoshi

Task 11

What is the primary C2 domain used for beacon check-ins?

Apa domain C2 utama yang digunakan untuk beacon check-in?

Thread diskusi teknis mencakup infrastruktur malware. Domain C2 (Command & Control) adalah alamat utama tempat mesin yang terkompromi melapor kembali ke operator.

None

Answer

health-status-rs.com

Task 12

In which city is the VPS server hosting the C2 panel?

Di kota mana server VPS yang menghosting panel C2 berada?

Cocokkan domain C2 dengan data lokasi server yang didiskusikan di forum. VPS yang menghosting panel kontrol sengaja ditempatkan di yurisdiksi dengan regulasi yang longgar.

None

Answer

Kragujevac

Task 13

On what date did the C2 listeners go live?

Pada tanggal berapa C2 listener mulai aktif?

Timeline setup teknis didokumentasikan di forum. Tanggal ketika C2 listener diaktifkan menandai dimulainya fase intrusi aktif.

None

Answer

2025–11–12

Task 14

In which city is the document forger located?

Di kota mana pemalsu dokumen berada?

Kelompok ini membutuhkan dokumen palsu untuk identitas palsu dan dokumen logistik. Lokasi pemalsu disebutkan selama diskusi persiapan identitas.

None

Answer

Bucharest

Task 15

What shell company was used as a backup cover story?

Apa nama perusahaan cangkang yang digunakan sebagai cerita cover cadangan?

Jika cover pameran palsu terbongkar, kelompok ini sudah menyiapkan identitas korporat sekunder. Nama perusahaan cangkang ini muncul dalam thread perencanaan keuangan dan logistik.

None

Answer

Danube Event Solutions Ltd

Task 16

What is the filename of the wipe script used to destroy evidence?

Apa nama file dari script wipe yang digunakan untuk menghancurkan bukti?

Pembersihan pasca-operasi direncanakan dengan cermat. Kelompok ini menyiapkan sebuah script untuk menghapus semua jejak dari sistem yang terkompromi. Nama filenya direferensikan dalam diskusi pembersihan teknis.

None

Answer

burn_cycle.sh

Task 17

What is the name of the escape vessel?

Apa nama kapal pelarian mereka?

Rencana kabur melibatkan pelarian lewat jalur laut. Nama kapal didokumentasikan dalam thread perencanaan ekstraksi.

None

Answer

Adriatic Wind

Task 18

What is the captain's name?

Siapa nama kaptennya?

Kapten kapal pelarian disebutkan dalam thread perencanaan ekstraksi yang sama, seringkali berdampingan dengan nama kapal dan koordinat keberangkatan.

None

Answer

Stavros

Task 19

What are the GPS coordinates of the emergency extraction point for Driver_BUD?

Apa koordinat GPS dari titik ekstraksi darurat untuk Driver_BUD?

Titik ekstraksi Driver_BUD dikodekan menggunakan What3Words — sistem geolokasi yang memetakan setiap area 3m² di Bumi ke frasa 3 kata yang unik.

Langkah-langkah:

  1. Temukan frasa 3 kata dari pesan Driver_BUD di forum
  2. Buka what3words.com dan masukkan frasa tersebut
  3. Tool akan memecahkan kode menjadi koordinat GPS yang presisi
None
None

Answer

37.936489, 23.68644

Task 20

What are the GPS coordinates of the farmhouse hideout?

Apa koordinat GPS dari persembunyian di rumah pertanian?

Koordinat safe house terakhir terungkap dalam thread perencanaan kontingensi kelompok ini. Rumah pertanian ini berfungsi sebagai lokasi cadangan jika ekstraksi utama gagal.

None

Answer

43.84947615369828, 20.92715775614975

Pelajaran & Kesimpulan

  1. Kegagalan OPSEC di Mana-Mana

Kelompok ini membuat kesalahan klasik: menyebutkan nama asli, nama hewan peliharaan, dan detail personal di saluran yang mereka anggap aman. Bahkan forum terenkripsi atau privat tidak kebal terhadap kesalahan manusia.

2. Pelacakan Infrastruktur

Domain C2, lokasi VPS, dan tanggal setup server memberikan timeline yang jelas bagi investigator. Pelaku ancaman sering menggunakan kembali infrastruktur yang sama di berbagai operasi, sehingga atribusi menjadi mungkin dilakukan.

3. What3Words sebagai Tool OSINT

Menggunakan enkoding geolokasi yang tidak konvensional (seperti What3Words) tidak memberikan keamanan — itu hanya menambah satu langkah pencarian bagi investigator yang tahu cara kerjanya.

4. Cerita Cover Selalu Punya Celah

Setiap identitas palsu, perusahaan cangkang, dan cerita cover memiliki jejak dokumen. Perusahaan cangkang yang hanya terdaftar secara nama tetap memiliki catatan pendaftaran, direktur, dan alamat.

5. Forensik Digital Butuh Kesabaran

Tantangan ini membutuhkan enumerasi sistematis dari seluruh konten forum — bukan hanya pencarian kata kunci. Jawaban tersebar di berbagai thread, membutuhkan pembacaan penuh, bukan sekadar scanning cepat.

Tools yang Digunakan

  • Browser / Navigasi Forum — Eksplorasi manual forum kriminal
  • What3Words — Dekoding pesan berenkoding lokasi
  • Teknik OSINT — Cross-referencing username, profil, dan metadata pesan
  • Analisis Teks — Mengidentifikasi detail operasional kunci yang tersembunyi di dalam thread percakapan