Peretas StealC Diretas Balik Saat Peneliti Ambil Alih Panel Kendali Malware
Peneliti keamanan mengungkap ironi menarik dalam ekosistem kejahatan siber: operator malware StealC justru menjadi korban peretasan. Sebuah celah cross-site scripting (XSS) pada panel kendali berbasis web StealC memungkinkan peneliti membajak sesi aktif, mengamati aktivitas operator, hingga mengumpulkan intelijen tentang perangkat keras yang digunakan pelaku.
StealC pertama kali muncul pada awal 2023 dan dipromosikan agresif di kanal kejahatan siber dark web. Malware ini cepat populer berkat kemampuan penghindaran deteksi dan pencurian data yang luas. Seiring waktu, pengembangnya menambahkan berbagai peningkatan. Pada rilis versi 2.0 April lalu, StealC memperkenalkan dukungan bot Telegram untuk notifikasi waktu nyata serta builder baru yang dapat menghasilkan varian malware berdasarkan templat dan aturan pencurian data khusus.
Pada periode yang sama, kode sumber panel administrasi StealC bocor, memberi peluang bagi peneliti untuk menganalisisnya secara mendalam. Tim peneliti dari CyberArk kemudian menemukan celah XSS yang memungkinkan mereka mengumpulkan sidik jari peramban dan perangkat keras operator StealC, memantau sesi aktif, mencuri session cookies, dan mengambil alih sesi panel dari jarak jauh.
Menurut laporan peneliti, eksploitasi celah tersebut mengungkap karakteristik komputer pelaku, termasuk indikator lokasi umum dan detail perangkat keras. Dengan session cookies yang diperoleh, peneliti dapat mengendalikan sesi panel langsung dari mesin mereka sendiri. Demi mencegah operator StealC segera menambal celah, CyberArk sengaja tidak mengungkap detail teknis spesifik dari kerentanan XSS tersebut.
Laporan juga menyoroti satu kasus pelanggan StealC yang dijuluki “YouTubeTA”. Aktor ini diduga membajak kanal YouTube lama yang sah menggunakan kredensial kompromi, lalu menanamkan tautan berbahaya. Sepanjang 2025, kampanye malware yang dijalankannya menghasilkan lebih dari 5.000 log korban, dengan sekitar 390.000 kata sandi dan 30 juta cookies dicuri—meski sebagian besar cookies tersebut tidak bersifat sensitif.
Tangkapan layar panel menunjukkan bahwa mayoritas infeksi terjadi saat korban mencari versi bajakan perangkat lunak kreatif populer. Dengan memanfaatkan celah XSS, peneliti dapat menyimpulkan bahwa pelaku menggunakan sistem berbasis Apple M3 dengan pengaturan bahasa Inggris dan Rusia, zona waktu Eropa Timur, serta akses internet dari Ukraina. Identitas lokasi ini terungkap ketika pelaku lupa mengakses panel StealC melalui VPN, sehingga alamat IP asli—yang terhubung ke ISP lokal—terekspos.
CyberArk menekankan bahwa model malware-as-a-service (MaaS) memang memudahkan penskalaan operasi kejahatan siber, namun juga meningkatkan risiko paparan bagi para operatornya sendiri. Dalam pernyataan terpisah, peneliti menyebutkan bahwa pengungkapan keberadaan celah XSS ini diharapkan dapat mengganggu operasi StealC, terlebih di tengah lonjakan jumlah operator dalam beberapa bulan terakhir. Langkah ini dipandang sebagai upaya strategis untuk menciptakan disrupsi nyata di pasar MaaS.
Kasus ini menunjukkan bahwa bahkan pelaku kejahatan siber yang canggih pun rentan terhadap kesalahan operasional dan celah keamanan—sebuah pengingat bahwa “senjata” yang digunakan penyerang dapat berbalik arah ketika diteliti secara sistematis.
