Black eats black: Waspadai risiko penipuan koin palsu yang dijamin oleh aplikasi Safew

Ditulis oleh: Bitrace

Safew adalah sebuah perangkat lunak komunikasi pribadi yang fungsi utamanya mirip dengan Telegram, berbasis teknologi enkripsi Telegram (protokol MTProto), di mana pesan, suara, video, dan file selama proses pengiriman sepenuhnya dienkripsi, hanya dapat dilihat oleh kedua belah pihak yang berkomunikasi, dan server tidak dapat membacanya. Beberapa perusahaan bahkan secara lebih lanjut mengimplementasikan deployment privat untuk mengendalikan data sepenuhnya atau menghindari pemeriksaan kepatuhan.

Karena kolaborasi penegakan hukum dan pemblokiran komunitas Telegram yang semakin sering diadakan, platform jaminan transaksi cryptocurrency ilegal terbesar di Asia Tenggara saat ini—Xinbi Guarantee—sedang mencoba memindahkan pedagang grup publik Telegram mereka ke Safew, yang menyebabkan maraknya aplikasi Safew palsu dan mengancam keamanan dana terenkripsi dari pelaku industri hitam abu-abu yang mayoritas beroperasi melalui grup publik.

Artikel ini bertujuan untuk mengungkap sebagian dari situasi black market ini.

Garis waktu

Pada 13 Mei 2025, waktu Beijing, dua platform jaminan transaksi cryptocurrency ilegal terbesar di Asia Tenggara, Hao Wang Guarantee dan Xinbi Guarantee, secara bersamaan dikenai sanksi oleh pihak resmi Telegram. Banyak akun layanan pelanggan resmi dan grup bisnis mereka langsung diblokir, menyebabkan kegiatan bisnis mereka berhenti sementara dan menimbulkan kepanikan besar di kalangan industri hitam abu-abu.

Kedua entitas ini menanggapi secara berbeda—

Pada pagi hari tanggal 13 Mei, Hao Wang Guarantee mengumumkan berhenti beroperasi dan menyerahkan seluruh bisnis grup publiknya kepada Potato Guarantee, yang merupakan entitas terkait yang sebelumnya diinvestasikan sebesar 30% oleh Hao Wang Guarantee. Dengan secara formal menutup operasinya, Hao Wang Guarantee secara de facto melakukan “pencucian” merek dan identitasnya, mengganti nama menjadi Potato Guarantee, dan melanjutkan kegiatan ilegalnya.

Pada 14 Mei, Xinbi Guarantee memperbarui konten di halaman utama situs web xinbi[.]com, mengumumkan secara resmi peluncuran grup publik Safew untuk menghindari pemblokiran oleh Telegram terhadap grup bisnis ilegal mereka. Meskipun konten situs web tersebut sudah tidak aktif lagi, namun melalui arsip web, jejak-jejak keberadaannya masih dapat dilihat.

Segera setelah itu, komunitas industri hitam abu-abu mulai mengeluarkan suara kecaman terhadap Xinbi Guarantee yang meluncurkan Safew dengan tujuan mencuri aset kripto pengguna. Diskusi negatif ini mencapai puncaknya setelah Potato Guarantee benar-benar gulung tikar pada awal 2026 dan Xinbi Guarantee mempercepat migrasi grup publik mereka.

Kemunculan Situs Palsu Safew

Meskipun Xinbi Guarantee terus menegaskan alamat unduhan resmi Safew dan mengklaim bahwa perangkat lunak tersebut sudah tersedia di App Store iOS, banyak kelompok penipu Safew palsu yang secara massal membuat situs unduhan tiruan yang tidak resmi dan menyebarkannya melalui kata kunci di mesin pencari.

Sebagai contoh, link tidak resmi safew-x[.]com. Saat dianalisis menggunakan alat sandbox keamanan online ANY.RUN, terdeteksi adanya aktivitas berbahaya.

Setelah dijalankan, sampel tersebut melepaskan varian Gh0stRAT SweetSpecter (trojan akses jarak jauh lengkap), dan membangun komunikasi perintah dan kontrol dengan server C2, memicu aturan Emerging Threats berikut:

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Varian ini memiliki kemampuan remote desktop, pencatatan keyboard, pencurian file, dan lain-lain. Setelah perangkat target terinfeksi, penyerang dapat mengendalikan sepenuhnya host yang terinfeksi secara jarak jauh, termasuk remote desktop real-time, pencatatan keyboard, pengawasan kamera/mikrofon, pencurian dan pengiriman file, eksekusi perintah sembarangan, serta penempatan alat berbahaya lainnya. Begitu terinfeksi, pelaku ancaman dapat bertahan secara tersembunyi dalam waktu lama dan mencuri data sensitif. Diklasifikasikan sebagai trojan akses jarak jauh (RAT) berisiko tinggi.

Bagi pedagang dan pengguna grup publik yang banyak menggunakan dompet kripto untuk aktivitas hitam abu-abu, malware ini jelas bertujuan mencuri kunci pribadi dompet yang tersimpan di perangkat mereka.

Analisis Bisnis Grup Publik Xinbi Guarantee dan Safew

Bitrace telah melakukan pemantauan aktivitas dana Xinbi Guarantee dalam jangka panjang. Hasil investigasi terhadap alamat deposit di grup Safew menunjukkan bahwa meskipun Xinbi Guarantee meluncurkan grup Safew sejak Mei 2025, baru pada Agustus tahun itu mereka mengalokasikan alamat bisnis terpisah untuk layanan ini, dan skala operasinya kecil serta menurun setiap bulan.

Hingga akhir 2025 dan awal 2026, setelah PayWang dan Potato Guarantee gulung tikar secara berturut-turut, Xinbi Guarantee secara agresif mempromosikan bisnis grup Safew mereka. Aktivitas alamat mulai meningkat, dan pada Januari 2026, mereka sempat mencapai aliran dana bulanan lebih dari 32 juta USDT, sebelum kemudian menurun setiap bulan.

Setelah mengumpulkan data semua alamat deposit Xinbi Guarantee, ditemukan bahwa volume deposit bulanan melalui saluran Safew hanya setara dengan satu hari aktivitas di saluran Telegram, menunjukkan bahwa saat ini Telegram masih menjadi pilihan utama pedagang grup hitam abu-abu Xinbi Guarantee.

Penutup

Faktanya, fenomena saling serang dan saling menipu di kalangan pelaku industri hitam abu-abu sangat sering terjadi—dari dompet palsu hingga Telegram palsu, dari serangan offline seperti peretasan hingga rekayasa sosial online—kelompok ini yang berada di luar aturan hukum sedang menjadi target serangan.

Setelah kebangkrutan Potato Guarantee, Xinbi Guarantee telah menjadi platform jaminan transaksi cryptocurrency ilegal terbesar di Asia Tenggara. Kampanye phishing terhadap pedagang grup Safew ini bukanlah yang pertama dan belum berakhir.

Bitrace akan terus memantau perkembangan situasi ini.