Peretas yang terkait dengan Iran telah meluncurkan kampanye dunia maya menyasar perusahaan-perusahaan ASmeningkatkan kekhawatiran bahwa infrastruktur penting akan segera diserang.
Pakar keamanan siber pada hari Kamis mengungkapkan bahwa kelompok Advanced Persistent Threat (APT) Seedworm telah menyusup ke banyak organisasi, termasuk bank, bandara, dan pemasok perangkat lunak untuk industri pertahanan dan ruang angkasa.
Para peneliti di Symantec dan Carbon Black menemukan bahwa penyerang memasang program jahat tersembunyi, yang dikenal sebagai pintu belakang, yang memungkinkan mereka secara diam-diam mendapatkan kembali akses ke sistem yang disusupi.
Mereka tidak mengungkapkan nama-nama perusahaan yang terkena dampak.
Penyelidik mengatakan para peretas tampaknya memata-matai, mencuri data sensitif dan memposisikan diri mereka untuk potensi serangan di masa depan.
“Serangan-serangan ini bertujuan untuk mengirimkan pesan dan bukan mencuri informasi, yang berarti organisasi mana pun di negara yang menjadi sasaran bisa menjadi sasaran tembak,” para peneliti memperingatkan.
Aktivitas dunia maya datang seiring AS dan Israel melancarkan serangan militer besar-besaran terhadap Iran yang menewaskan pemimpin tertinggi negara dan beberapa pejabat senior.
“Karena ketegangan yang memanas di kawasan dan serangan yang terus berlanjut, kemungkinan besar Iran dan sekutunya juga akan memulai operasi siber untuk lebih menargetkan musuh-musuh mereka,” kata para peneliti.
Aktivitas dunia maya ini terjadi ketika AS dan Israel melancarkan serangan militer besar-besaran terhadap Iran. membunuh pemimpin tertinggi negara dan beberapa pejabat senior.
Pakar keamanan siber pada hari Kamis mengungkapkan bahwa peretas Iran telah menyusup ke beberapa organisasi AS, termasuk bank, bandara, dan pemasok perangkat lunak untuk industri pertahanan dan kedirgantaraan (STOCK).
Iran sebelumnya telah menunjukkan kemampuan siber yang signifikan, khususnya selama periode ketegangan geopolitik yang meningkat.
Para pakar keamanan siber memperingatkan bahwa setiap serangan di masa depan dapat menargetkan sektor-sektor penting seperti energi dan utilitas, transportasi dan logistik, keuangan, telekomunikasi, layanan kesehatan, dan perusahaan-perusahaan yang terkait dengan rantai pasokan pertahanan dan militer.
Kelompok peretas, juga dikenal sebagai MuddyWater, Temp Zagros, dan Static Kitten, diyakini merupakan bagian dari Kementerian Intelijen dan Keamanan Iran (MOIS).
Kegiatan tersebut tampaknya telah dimulai pada awal Februari dan terus berlanjut dalam beberapa hari terakhir, bahkan setelah serangan militer AS dan Israel terhadap Iran, para peneliti keamanan siber berbagi dalam sebuah pernyataan. blog.
Beberapa organisasi telah melaporkan aktivitas mencurigakan pada sistem mereka dalam beberapa pekan terakhir, termasuk bank AS, bandara, dan perusahaan perangkat lunak yang memasok teknologi ke industri pertahanan dan ruang angkasa.
Organisasi nirlaba di AS dan Kanada juga terkena dampaknya.
Para peneliti mengatakan perusahaan perangkat lunak tersebut beroperasi di Israel, dan cabangnya di Israel tampaknya menjadi target utama kegiatan tersebut.
Mereka juga menemukan malware yang sebelumnya tidak diketahui, alat akses tersembunyi yang mereka beri nama ‘Dindoor,’ pada sistem cabang perusahaan di Israel.
Penyelidik mengatakan para peretas tampaknya memata-matai, mencuri data sensitif dan memposisikan diri mereka untuk potensi serangan di masa depan
Pintu belakang yang sama kemudian ditemukan di jaringan bank AS dan organisasi nirlaba Kanada, yang menunjukkan bahwa serangan tersebut merupakan bagian dari kampanye yang lebih luas.
Malware tersebut menggunakan alat pemrograman yang dikenal sebagai Deno untuk menjalankan perintah pada sistem yang terinfeksi dan ditandatangani secara digital dengan sertifikat yang diterbitkan atas nama ‘Amy Cherne.’
Penyelidik juga mendeteksi upaya untuk menyalin data dari sistem perusahaan perangkat lunak ke penyimpanan cloud eksternal menggunakan alat transfer file yang disebut Rclone.
Namun, masih belum jelas apakah ada informasi yang berhasil dicuri.
Para ahli memperingatkan bahwa kelompok dunia maya Iran mungkin meningkatkan operasi mereka, berpotensi menggabungkan serangan yang mengganggu dengan upaya yang lebih diam-diam untuk mendapatkan akses ke sistem sensitif.
“Langkah berikutnya yang mungkin dilakukan oleh para pelaku dan pendukung dunia maya di negara ini adalah dengan melakukan berbagai kampanye yang menggabungkan gangguan dengan visibilitas tinggi untuk memberikan sinyal politik dan operasi akses dengan visibilitas rendah untuk mendapatkan pengaruh strategis,” kata para peneliti.
Serangan tersebut terjadi ketika perusahaan keamanan siber CloudSek merilis penilaian lanskap ancaman yang memperingatkan bahwa lebih dari 60 kelompok peretas melakukan mobilisasi dalam beberapa jam setelah eskalasi militer AS-Iran pada tanggal 28 Februari 2026.
Mereka menambahkan bahwa puluhan ribu sistem kendali industri AS tetap dapat dijangkau secara langsung dari internet, banyak di antaranya tanpa autentikasi selain kata sandi bawaan pabrik.
