Mengungkap Siapa Dibalik SPM55

SPM55 adalah threat actor dari Indonesia yang menjual phishing atau scampage. Sebenarnya sudah pernah dibahas di thread Twitter tanggal 31 Oktober 2021 dibawah ini tapi karena ada sedikit update, saya tulis lagi saja disini.

https://twitter.com/b00km4rkz/status/1454766339269087237

https://twitter.com/JCyberSec_/status/1454097244047790082

Disclaimer: Semua data-data yang ada dalam tulisan ini dapat diakses oleh publik. Tidak ada data yang diperoleh secara ilegal.

SPM55 ini menjual berbagai macam scampage seperti Netflix, Coinbase, RobinhoodApp, Amazon dll.

daftar produk SPM55

Domain spm55-v2.com dibuat pada tanggal 2021–10–07. Mereka beli domain di RumahWeb dan hosting di IDCloudHost dengan informasi WHOIS dari Malaysia.

https://dnslytics.com/domain/spm55-v2.com

Ketika mendaftar pada webnya, saya harus verifikasi ID lewat bot Telegram dengan nama @spm55_bot.

https://t.me/spm55_bot (https://archive.ph/8pWIk)

Beberapa sosial media mereka saat ini sudah tidak aktif lagi.

halaman facebook SPM55

Bisa dilihat admin grup diatas adalah user facebook dengan nama Alex ID dan akun tersebut cukup aktif mempromosikan SPM55 diberbagai grup facebook. Akun ini pun sudah tidak aktif lagi sekarang.

admin grup facebook SPM55, Alex ID

Admin grup Telegram SPM55 juga memiliki nama yang sama yaitu Alex ID dengan username alert_boyxd namun sekarang telah berganti username menjadi edzalex.

admin grup telegram SPM55, Alex ID

https://t.me/edzalex (https://archive.ph/W49ok)

Mereka melakukan pembayaran menggunakan informasi dibawah ini.

081393455852 (OVO)
081365805811 (DANA)
rikacantik29@hotmail.com (PayPal) 1FPArS478SMXiPB6rvxKis9YHwU12MjE1D (BTC) 0x3f964f15d4ab848f3e9c9baa27d897bb793908e2 (ETH)

tipe pembayaran SPM55

Dari dua nomor telepon diatas saya menemukan informasi sebagai berikut.

hasil pencarian kontak 081393455852

percobaan transfer OVO ke nomor 081393455852

percobaan transfer DANA ke nomor 081365805811

percobaan transfer OVO ke nomor 081365805811

Pencarian atas nama Winarto Ako tidak banyak membuahkan hasil. Untuk nama RI** kemungkinan besar menggunakan nama RIKA sesuai dengan email PayPal diatas.

Untuk alamat dompet BTC ada 0.03387657 ($2,051.27) atau sekitar 30 juta Rupiah (pengecekan tanggal 31 Oktober 2021) dan alamat dompet EHT ada 0.03029439 ($130.45) atau sekitar 1,8 juta Rupiah (pengecekan tanggal 31 Oktober 2021).

dompet BTC 1FPArS478SMXiPB6rvxKis9YHwU12MjE1D

dompet ETH 0x3f964f15d4ab848f3e9c9baa27d897bb793908e2

Mereka juga pernah melakukan transfer cryptocurrency lewat Indodax.

Beberapa domain yang terkoneksi dengan SPM55 diataranya adalah brandalz.com dan shopskipco.com. Pada domain shopskipco.com ada logo SPM55 dengan metadata dari Makassar, Sulawesi Selatan.

tampilan domain shopskipco.com (https://archive.ph/eBzNi)

metadata logo SPM55 pada domain shopskipco.com

Jika diperhatikan pada halaman transfer OVO ke nomor 081393455852 diatas ada foto/logo dengan nama/tulisan boyxd. Nama admin Telegram SPM55 juga ada kata boyxd.

Saya lalu Googling dengan keyword “boyxd” dan menemukan halaman Linktree dengan gambar yang sama persis.

https://www.google.com/search?q=%22boyxd%22

https://linktr.ee/boyxd (https://archive.ph/fSJQr)

Lalu saya fokus ke username tersebut dan menemukan profil Kaskus dengan username yang sama yaitu boyxd dan nama tokonya adalah BoyXD Shop.

https://www.kaskus.co.id/@boyxd (https://archive.ph/177XB)

Profil Kaskus diatas menjual script phishing, akun facebook dan akun bukalapak. Ada dua nomor telepon yang ditemukan pada profil Kaskus tersebut yaitu 081320483670 dan 089602529852.

Ketika saya klik postingan Script Phishing Request dan Akun Facebook 100K/3, saya menemukan gambar yang sama lagi dan lokasi Cash On Delivery (COD) di Sumatera Utara.

https://fjb.kaskus.co.id/product/601b353601963858bc4d179c/ (https://archive.ph/3aMYi)

https://fjb.kaskus.co.id/product/601b34c62a203700595d6787/ (https://archive.ph/Tt6NH)

Lalu saya coba melakukan reverse image dengan gambar tersebut dan menemukan lagi profil BoyXD Shop pada web pastiterjual.com menggunakan username cs-pypal.

reverse image

https://pastiterjual.com/author/cs-pypal/?type=ads (https://web.archive.org/web/20220717135318/https://pastiterjual.com/author/cs-pypal/?type=ads)

Jualannya kurang lebih sama dengan profil di Kaskus sebelumnya. Saya juga menemukan nomor telepon 081320483670 dan 089602529852 pada profil tersebut. Pada dua postingannya yaitu Jual Akun Facebook dan Akun Bukalapak Berumur + CN memiliki lokasi di Sumatera Utara.

https://pastiterjual.com/ad/jual-akun-facebook/ (https://web.archive.org/web/20220717135431/https://pastiterjual.com/ad/jual-akun-facebook/)

https://pastiterjual.com/ad/akun-bukalapak-berumur-cn/ (https://web.archive.org/web/20220717135634/https://pastiterjual.com/ad/akun-bukalapak-berumur-cn/)

Menariknya pada postingan Akun Bukalapak Berumur + CN mencantumkan alamat di Sumatera Utara yaitu Gg. Amal, Perdamaian, Kec. Stabat, Kabupaten Langkat, Sumatera Utara 20811, Indonesia.

https://goo.gl/maps/LL6vS7PnTcxgu6Yf9

jalan masuk gang amal https://goo.gl/maps/UrFjX4fceNk7nyfk7

Dari nomor telepon yang ditemukan diatas, saya coba melakukan percobaan transfer OVO ke nomor 081320483670 dan muncul nama MU*****D SU****O.

percobaan transfer OVO ke nomor 081320483670

Lalu dari hasil pencarian username boyxd saya juga menemukan profil PayPal atas nama Muhammad Suriono. :)

https://www.paypal.com/paypalme/boyxd (https://web.archive.org/web/20220717135056/https://www.paypal.com/paypalme/boyxd)

Kemungkinan besar boyxd adalah Muhammad Suriono dan berdomisili di Sumatera Utara. Nama Muhammad Suriono dapat dari hasil pencarian username dan nomor telepon di Kaskus dan pastiterjual.com. Percobaan transfer OVO dan profil PayPal. Sedangkan Sumatera Utara terkait dari postingan Kaskus dimana pembayaran secara COD di daerah Sumatera Utara.

Selain itu saya juga Googling menggunakan keyword “rikacantik29” dan menemukan email rikacantik29@hotmail.com dan nomor telepon 081365805811 pernah mendaftarkan domain duitinaja.com dengan nama perusahaan Lainnya — SPM55 (Rika Rika) dan alamat Wiyoro Baru III No21 RT10 Baturetno Banguntapan Bantul D Jawa tengah Daerah Istimewa Yogyakarta DIY 55197 ID.

https://website.informer.com/duitinaja.com#tab_whois (https://web.archive.org/web/20220717140151/https://website.informer.com/Rika+Rika+Lainnya+--+SPM55.html)

https://goo.gl/maps/Ha9jn89NzSLZWgEk9

https://goo.gl/maps/qZi4MDogsNLTnGUe6

Link2 pendukung lainnya:

https://gitlab.com/spm55
https://www.instagram.com/muhammadsuri/ ???

Jaga kesehatan! 😷😷😷

[OSINTUITION]