Advent of The Relics 2 - Operation Winter Blackout adalah tantangan menjadi cyber forensics menurut saya tantangan ini sangat melelahkan, alhamdulillah saya masih bisa menyelesaikannya walaupun terlihat lebih lama daripada teman lainnya.
Skenario pada latihan Advent of The Relics 2 - Operation Winter Blackout anda akan disuruh menyelidiki kasus serangan phishing terhadap perusahaan logistik dan kamu akan mencoba menyelidiki forum kriminal kelompok mereka. langkah pertama kamu harus akses forum mereka. https://advent-of-the-relics-forum.htb.blue/ dan untuk kata sandinya [ SnowBlackOut_2026! ] dan sepert ini tampilan forum kriminalnya.
Btw kalau kamu ingat-ingat lagi, kata sandi tersebut adalah task terakhir dari Warmup Part 1 - A Call from the Museum hackthebox
Advent of The Relics 2 memang sambungan dari versi kesatu tersebut, dan sekarang adalah untuk mencari tahu pelaku kriminal dari kasus phishing terbesar, berikut beberapa tugas dan cara menyelesaikan tasknya.
How many suspects are using this forum?
Task pertama, anda disuruh untuk mencari berapa banyak tersangka yang menggunakan forum ini. Untuk menyelesaikannya anda bisa menghitung jumlah pengguna pada menu members.
What is the username of the group's leader?
Pada menu yang sama [members], anda juga akan melihat nama dan bio dari masing-masing akun, saya curiga dengan nama Curator karena ia mengisi bionya dengan Ops Lead. saya mencoba inputkan ke task kedua dan boom ternyata task terselesaikan.
What is Driver_BUD's real first name?
Task ketiga anda disuruh mencari tahu nama depan asli dari seorang berinisial Driver_Bud's, Disini saya berfikir sedikit bahwa nama, tanggal lahir, curhatan, atau apapun diluar topik phishing maka akan masuk dalam off topic. Tak berfikir panjang, lantas saya check kategori tersebut dan menemukan salah satu threads "RIP Diesel" tak disengaja seseorang berinisial SnowFox membalas Driver dengan nama aslinya. Coba lihat gambar dan nama tersebut memanglah nama asli dari Driver.
What is the codename of the operation?
Tugas berikutnya anda disuruh mencari tahu kode rahasia operasi phishing terhadap jasa perusahaan logistik. Untuk menyelesaikan task ini, anda bisa mencari info pada kategori operations. Saya melakukan check satu persatu threads sampai saya melihat salah satu yang berjudul Project "Winter Blackout" oleh Author:Curator. Saya mencoba lagi untuk input ke task Hackthebox dan boom jawabannya benar.
What single word is the trigger code that activates all nodes?
Lanjutan task 5 mencari tahu kode pemicu, dengan logika aktivitas kode itu masuk kategori operations maka di sini saya mengecek kategori tersebut dan saya menemukan salah satu threads Sync logic dan seseorang yang bernama Bellringer menuliskan Trigger logic signed and sealed bla bla bla 'Forst' kata tersebut adalah jawabannya.
What is the name of the fake exhibition used as cover for the heist?
Task ini menurutku mudah, karena tidak susah untuk mencari nama pameran palsu yang digunkan untuk menutup phishing [ perampokan ]. dengan judul yang masuk akal, saya mencoba fitur search dan mengetikan Exhibition dan boom kamu menemukan jawabanya yang bertulis 'Miracles of Winter'.
What time was the single word trigger scheduled to execute on New Year's Eve?
Mencari tahu waktu yang ditetapkan untuk memicu eksekusi, untuk menyelesaikan task ini saya mencoba mencari tahu pada kategori Operations dan pada threads tersebut saya menemukan judul Trigger Protocol Finalized, didalam threads tersebut para penjahat berinteraksi dengan berkirim pesan.
Pada saat membaca-baca dan kalau kita ingat-ingat kata pemicu trigger 'FROST' seseorang bernama Curator menyebutkan Trigger ini akan berjalan pada jam 23:59:50.
What is the full name of the phishing target at CALE?
Mencari tahu nama lengkap korban phishing yang ditargetkan, Karena kata 'Phishing' masuk kategori Malware. Maka saya fokus menggali informasi pada kategori tersebut, saya melakukan check satu persatu threads sampai saya menemukan Threads yang berjudul Operation Winter Blackout: Patient Zero (Belgrade).
Tepat pada sesi pertama threads Author bernama SnowFox Berhasil mengirim email phishing ke target dan menyebutkan Primary target: Kamil Poltaves (kamil.poltaves@cale-corp.irg) dan nama tersebut merupakan jawaban untuk task ini.
What make and model is the truck used for transport?
Menggali lagi informasi dari pelaku kejahatan phishing, kali ini kita disuruh mencari tahu merek mobil yang digunakan untuk transportasi mereka.
Mengingat Tansportasi merupakan kategori Physical Logistik dalam forum, maka saya juga menggali pada kategori tersebut dan menemukan threads yang dituliskan oleh pelaku berinisial Driver_Bud's yang terang-terangan menyebutkan Vehicle Prep: Volvo Fh & Cold Weather Config.
What is the name of Ledgers cat?
Mencari tahu nama Kucing dari pelaku yang berinisial Ledgers, Singkat cerita. Karena saya Mengingat-ingat task ketiga selain topik yang berhubungan dengan phishing maka akan masuk kategori Off topic Dan untuk task ini ternyata tidak berlaku btw wkwkwk.
Tak habis akal saya mencoba membuka seluruh threads dari semua ketegori dan tidak ketemu, saat itu saya hampir menyerah untuk menyelesaikan ini sampai saya ingat ada satu menu yang belum aku check yaitu menu members. dan saat saya baca salah satu bio dari pengguna group yaitu ledgers, ia menaruh bio mengenai nama kucingnya yaitu Satoshi.
What is the primary C2 domain used for beacon check-ins?
Mencari Tahu tahu domain utama c2 yang digunakan sebagai check-in Beacon, Pada task ini saya langsung membuka kategori Malware and stuff dan langsung check threads dari Bellringer yang berjudul C2 Infrastructure Status: Green. Kenapa saya memilih untuk mengecek judul tersebut? karena menurut saya judul tersebut berhubungan dengan status C2 green alias C2 yang sudah berjalan.
Tak berfikir lama, saat saya melihat postingan pertama oleh Bellringer, menyebutkan bahwa C2 telah aktif dan memberikan keterangan dari endpoint : https://health-status-rs[.]com/api/v1/checkin.
Karena pada tugas hanya meminta nama domain maka saya mengisinya dengan domainnya saja, yakni : health-status-rs.com.
In which city is the VPS server hosting the C2 panel?
Tugas berikutnya, kita disuruh untuk mencari tahu dimanah provider panel vps phishing di hosting, karena vps dan server merupakan kategori infrastructure maka saya langsung melihat threads pada kategro tersebut. dan saya langsung memilih untuk melihat sesi pembahasan mengenai C2 Infrastructure: Domain Registration & SSL didalam sesi tersebut seseorang berinisial Curator mengetik "Activate them. The campaign loader (11/12) depends on these resolving. Ensure the VPS provider in Kragujevac is paid through the end of January."
Kalau kita translate dia bilang "Aktifkan mereka. Pemuat kampanye (11/12) bergantung pada penyelesaian ini. Pastikan penyedia VPS di Kragujevac sudah dibayar hingga akhir Januari.".
Ia terang-terangan menyuruh dan bilang aktifkan mereka atau semua dan menyebutkan penyedia vps yaitu 'Kragujevac'.
On what date did the C2 listeners go live?
Mencari tahu listener C2 mulai beroperasi, kalau kamu baca full kategori Malware and stuff tepatnya pada threads C2 Infrastructures status: Green. ada salah satu seseorang yang bilang bahwa Listener sudah aktive. kamu bisa simak lagi threads tersebut dan kamu lihat pada tanggal berapa ia mengetikan Listeners are live, yap butul 12 Nov 2025. kamu inputkan sesuai dari format tanggal didalami task ya.
In which city is the document forger located?
Sekarang kita akan mencari tahu posisi dari pelaku pemalsu dokumen berada, masuk ke kategori physical logistics seorang pelaku berinisial Curator membuat balasan mengenai pembuatan dokument dan bilang bahwa "The Bucharest forger has outdone himself."
What shell company was used as a backup cover story?
Dalam Task ini kita disuruh mencari tahu perusahaan yang akan digunakan sebagai cerita cadangan. jika kamu masuk dalam kategori operations kamu juga akan melihat threads yang judulnya "contingency protocols: if carnet acces is revoked" Jika diterjemahkan menjadi "protokol darurat: jika akses carnet dicabut".
Itu adalah threads yang menjelaskan protokol cadangan atau cadangan nama perusahaan untuk mengarang cerita. si Ledger bilang "Prepped alternate invoices from 'Danube Event Solutions Ltd' dan nama perusahaan tersebutlah jawaban dari task ini.
What is the filename of the wipe script used to destroy evidence?
Selanjutnya adalah mencari tahu script yang digunakan untuk menghapus barang bukti, script yang akan digunakan jika kernel panic dan hard shutdown. Kalau kita amati judul dari tugas/task, judul ini masuk kategori Infrastructure. Karena script termasuk file yang dijalankan oleh server maka pilih threads server wipe protocols. Seseorang berinisial Bellringer menjelaskan nama script dan fungsi dari scriptnya. Kamu bisa ketik nama script tersebut sebagai jawaban task 16 ini.
What is the name of the escape vessel?
Dalam task ini kita harus mencari tahu nama kapal yang melarikan diri, tidak lupa saya juga mengulik-ulik forum lagi dan masuk ke kategori operations dan melihat rencana-rencana mereka pada Threads Exfiltration protocol: Staging South Exit Route saya melihat rencana mereka. bahwa mereka akan melakukan pelarian diri menggunakan kapal yang bernama "Adriatic Wind".
What is the captain's name?
Tugas ini masih dalam threads yang sama namun untuk tugas ini kita disuruh mencari tahu nama kapten kapal yang akan mereka gunakan, btw mereka menyebutkan bahwa mereka akan membayar 8000 Euro secara cash ke Stavros (Captain).
What are the GPS coordinates of the emergency extraction point for Driver_BUD?
Tibalah saatnya task tersulit wkwkkw, task ini menyuruh kita untuk mencari koordinasi GPS titik ekstraksi darurat Driver_Bud's tapi tenang, saya akan membahasnya sedetail mungkin.
Task ini masih pada Threads "Exfiltration protocol: Staging South Exit Route" yang berkategori operations dan Curator bilang "This thread is primarily for Driver_BUD." jika disederhanakan artinya adalah Thread ini untuk Driver_Bud.
Curator menyambung thread dengan memberikan 3 Key Memorize dan this phrase: twitchy develop hulk. dan saya menggunakan web ini untuk mencari tahu lokasi dengan key phrase https://what3words.com/ dan pastekan saja key phrase.
Setelah itu untuk menemukan titik koordinat yang akurat saya menggunakan petunjuk arah dan memilih aplikasi google maps. di dalam url google maps tepat pada parameter "destination=number, number" itulah jawabannya.
What are the GPS coordinates of the farmhouse hideout?
Selanjutnya adalah mencari tahu beberapa titik koordinasi gps tempat persembunyian Farmhouse, Tugas terakhir ini saya melakukan investigasi pada Kategori Physical Logistics dan pada Threadsnya Driver_bud yang berjudul Staging point, Driver memberikan titik koordinasi dan itu adalah jawaban untuk task terakhir.
Penutup
Sebagai penutup, saya sampaikan bahwa artikel warmup Advent of The Relics 2 - Operation Winter Blackout sangat panjang karena saya ingin memberikan tutorial yang kompleks dan mudah dipahami dan semoga artikel ini bermanfaat untuk banyak orang.