Beberapa peneliti keamanan siber yang telah melacak Trickbot secara ekstensif mengatakan kepada WIRED bahwa mereka tidak menyadari pengumuman tersebut. Sebuah akun anonim di platform media sosial X baru-baru ini mengklaim bahwa Kovalev menggunakan alias Stern dan memublikasikan rincian yang diduga tentang dirinya. WIRED mengirim pesan ke beberapa akun yang konon milik Kovalev, menurut akun X dan basis data rekaman yang diretas dan bocor yang dikompilasi oleh District 4 Labs, tetapi tidak menerima respons.
Sementara itu, nama dan wajah Kovalev mungkin sudah cukup dikenal oleh mereka yang mengikuti perkembangan terbaru tentang Trickbot. Ini karena Kovalev mendapat sanksi bersama dari Amerika Serikat dan Inggris pada awal 2023 karena diduga terlibat sebagai anggota senior Trickbot. Ia juga didakwa di AS pada waktu itu terkait peretasan yang dikaitkan dengan penipuan bank pada 2010. AS menambahkannya ke daftar buronan mereka. Namun, dalam semua aktivitas ini, AS dan Inggris menghubungkan Kovalev dengan alias “ben” dan “Bentley.” Sanksi 2023 tidak menyebut koneksi dengan alias Stern. Faktanya, dakwaan Kovalev tahun 2023 terutama mencolok karena penggunaan alias “Bentley” dianggap “historis” dan berbeda dari anggota kunci Trickbot lain yang juga menggunakan nama “Bentley.”
Grup ransomware Trickbot pertama kali muncul sekitar 2016, setelah anggotanya beralih dari malware Dyre yang dihentikan otoritas Rusia. Selama operasinya, grup Trickbot—yang menggunakan malware dengan namanya sendiri, bersama varian ransomware lain seperti Ryuk, IcedID, dan Diavol—semakin tumpang tindih dalam operasi dan personel dengan geng Conti. Awal 2022, Conti menerbitkan pernyataan mendukung invasi skala penuh Rusia ke Ukraina, dan seorang peneliti keamanan siber yang menyusup ke grup tersebut membocorkan lebih dari 60.000 pesan dari anggota Trickbot dan Conti, mengungkap banyak informasi tentang operasi dan struktur harian mereka.
Stern bertindak seperti “CEO” grup Trickbot dan Conti dan menjalankannya seperti perusahaan sah, menurut pesan chat bocor yang dianalisis WIRED dan peneliti keamanan.
“Trickbot menciptakan cetak biru model bisnis kriminal siber ‘as-a-service’ modern yang diadopsi banyak grup setelahnya,” kata Leslie dari Recorded Future. “Meski sudah ada grup terorganisir sebelum Trickbot, Stern memimpin periode kejahatan siber Rusia dengan profesionalisasi tinggi. Tren ini masih berlanjut, direplikasi global, dan terlihat di sebagian besar grup aktif di dark web.”
Ketenaran Stern dalam dunia kejahatan siber Rusia sudah terdokumentasi luas. Perusahaan pelacakan kripto Chainalysis tidak menyebut nama publik pelaku kriminal siber dan enggan berkomentar soal identifikasi BKA, tetapi perusahaan menekankan bahwa persona Stern sendiri termasuk aktor ransomware paling menguntungkan yang pernah dilacak.
“Penyelidikan mengungkap Stern menghasilkan pendapatan besar dari aktivitas ilegal, khususnya terkait ransomware,” kata juru bicara BKA kepada WIRED.
Stern “mengelilingi diri dengan orang-orang sangat teknis, banyak di antaranya mengaku punya pengalaman puluhan tahun, dan ia berserahkan tugas besar ke orang-orang berpengalaman yang dipercayanya,” kata Keith Jarvis, peneliti keamanan senior di Counter Threat Unit Sophos. “Saya rasa ia selalu berada di peran organisasi semacam ini.”
Bukti yang semakin banyak dalam beberapa tahun terakhir menunjukkan Stern punya setidaknya beberapa koneksi longgar dengan aparat intelijen Rusia, termasuk badan keamanan utamanya, FSB. Alias Stern pernah menyebutkan mendirikan kantor untuk “topik pemerintah” pada Juli 2020, sementara peneliti menemukan anggota lain grup Trickbot mengatakan Stern kemungkinan “penghubung antara kami dan petinggi FSB.”
Kehadiran Stern yang konsisten sangat berkontribusi pada efektivitas Trickbot dan Conti—begitu pula kemampuaan entitas ini menjaga keamanan operasional dan tetap tersembunyi.
Seperti kata Jarvis dari Sophos, “Saya tidak punya pendapat soal atribusi, karena belum pernah dengar cerita meyakinkan tentang identitas Stern sebelum pengumuman ini.”