Kabar Pajajaran – Aktivitas kelompok peretas asal Iran dilaporkan menurun drastis di tengah meningkatnya ketegangan militer antara Amerika Serikat dan Iran. Kondisi ini sempat memicu spekulasi bahwa para hacker Iran kehilangan akses akibat pemutusan jaringan internet nasional.
Namun laporan terbaru dari perusahaan keamanan siber Shieldworkz menunjukkan situasi sebenarnya lebih kompleks.
Dalam laporan berjudul “Decoding the Strategic Quiet of Iranian Cyber Groups”, para analis menilai penurunan aktivitas tersebut kemungkinan merupakan fase penyesuaian strategi, bukan tanda bahwa kemampuan siber Iran telah lumpuh.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Operasi Militer AS Ganggu Infrastruktur Siber Iran
Menurut laporan tersebut, berkurangnya aktivitas siber Iran berkaitan dengan dampak operasi militer Amerika Serikat yang dikenal sebagai Operation Epic Fury.
Operasi ini disebut memberikan tekanan besar terhadap infrastruktur pertahanan digital Iran. Beberapa fasilitas operasional dilaporkan mengalami gangguan, termasuk sistem komando yang mengoordinasikan aktivitas peretasan.
Shieldworkz menyebut operasi tersebut juga berdampak pada jaringan komunikasi internal kelompok hacker Iran serta mengganggu sejumlah sistem pendukung kegiatan siber mereka.
Situasi ini semakin diperparah oleh gangguan konektivitas internet di dalam negeri. Laporan tersebut menyebut hingga 96 persen koneksi internet nasional Iran sempat terputus, yang turut membatasi aktivitas dunia maya di negara tersebut.
Sistem Operasi Terdesentralisasi
Meski demikian, jaringan siber Iran dinilai tidak sepenuhnya lumpuh. Banyak kelompok hacker Iran menggunakan struktur operasi yang disebut “mosaic model”, yakni sistem jaringan terdesentralisasi dengan kepemimpinan berlapis dan otonomi tinggi.
Model ini memungkinkan unit-unit peretas tetap beroperasi secara mandiri meskipun pusat komando mengalami gangguan.
Selain itu, sebagian pedoman operasi mereka disimpan secara offline, sehingga tetap dapat digunakan ketika akses internet dibatasi atau bahkan terputus.
Para peneliti juga menemukan bahwa sejumlah akses siber Iran telah tertanam di berbagai sistem sejak awal 2025, termasuk melalui pencurian kredensial dan eksploitasi celah keamanan VPN di sejumlah infrastruktur penting di kawasan Timur Tengah.
Walau sebagian besar alat peretasan tersebut saat ini tidak aktif, mereka masih berada dalam sistem target. Para analis menyebutnya sebagai “bom waktu digital” yang dapat diaktifkan kembali sewaktu-waktu.
Sejumlah Kelompok Hacker Masih Aktif
Laporan Shieldworkz juga mencatat beberapa kelompok peretas Iran yang dikenal sebagai Advanced Persistent Threat (APT) masih beroperasi secara senyap hingga Maret 2026.
Beberapa di antaranya meliputi:
-
APT33 (Refined Kitten) yang berafiliasi dengan Islamic Revolutionary Guard Corps, masih memantau peluang sabotase menggunakan malware destruktif.
-
APT34 (OilRig) yang diduga terkait dengan Ministry of Intelligence of Iran, masih melakukan pengintaian dan pencurian kredensial.
-
APT35 tetap menjalankan kampanye phishing meski volumenya menurun.
-
APT42 terus melakukan pemantauan terhadap target tertentu.
-
MuddyWater, yang juga terkait dengan MOIS, saat ini beroperasi secara terbatas sambil menyesuaikan strategi baru.
-
Cotton Sandstorm menjalankan operasi pengaruh digital dan amplifikasi data bocor.
-
Cyber Av3ngers menurunkan intensitas serangan terhadap sistem kontrol industri dan kini lebih fokus pada serangan Distributed Denial of Service (DDoS) skala rendah.
Keheningan Dinilai Hanya Sementara
Para analis menilai minimnya aktivitas siber Iran saat ini kemungkinan merupakan masa transisi dari operasi ofensif menuju mode bertahan.
Kelompok peretas diduga sedang melakukan audit sistem, mengevaluasi kerusakan akibat operasi militer, serta merotasi server komando untuk menghindari pelacakan.
Langkah tersebut juga memungkinkan mereka menyembunyikan jejak digital agar alat peretasan yang telah tertanam dalam sistem target tidak terdeteksi.
Selain faktor teknis, kondisi ini juga memberi ruang bagi pemerintah Iran untuk memfokuskan sumber daya pada konflik militer yang sedang berlangsung.
Ancaman Serangan Siber Diprediksi Kembali Meningkat
Shieldworkz memperkirakan aktivitas siber Iran akan kembali meningkat secara bertahap dalam beberapa bulan ke depan.
Dalam 0–4 minggu, serangan diperkirakan berupa DDoS, peretasan situs web, serta reaktivasi malware di kawasan Timur Tengah, Amerika Serikat, hingga wilayah strategis seperti Selat Hormuz.
Dalam 1–3 bulan, operasi APT yang lebih terorganisasi diperkirakan kembali aktif dengan target sektor energi, kontraktor pertahanan, telekomunikasi, hingga fasilitas kesehatan di Israel.
Sedangkan dalam 3–9 bulan, operasi siber yang lebih besar diprediksi menargetkan infrastruktur penting negara Barat serta sistem keuangan negara-negara Teluk.
Dalam jangka panjang, ancaman dapat berkembang menjadi kampanye spionase siber terhadap negara-negara anggota NATO serta sektor energi global.
Infrastruktur Energi Jadi Target Utama
Salah satu risiko terbesar adalah malware pasif yang sebelumnya telah tertanam dalam infrastruktur energi serta sistem pengolahan air.
Peretas yang berafiliasi dengan IRGC juga dilaporkan menargetkan perangkat Industrial Control System (ICS) yang terhubung langsung ke internet.
Peringatan sebelumnya dari United States Department of Defense dan Cybersecurity and Infrastructure Security Agency menyebut para hacker sering mengeksploitasi password bawaan pabrik pada perangkat industri seperti Programmable Logic Controller (PLC) dan Human-Machine Interface (HMI).
Iran Pernah Bangkit Setelah Serangan Siber Besar
Sejarah menunjukkan Iran memiliki kemampuan untuk bangkit setelah mengalami serangan siber besar.
Setelah serangan malware Stuxnet satu dekade lalu, kelompok hacker Iran diketahui melancarkan serangan balasan terhadap perusahaan minyak Saudi Aramco serta sistem kasino milik Las Vegas Sands.
Karena itu, para analis memperingatkan bahwa keheningan aktivitas siber Iran saat ini kemungkinan hanya merupakan fase persiapan sebelum gelombang serangan berikutnya.
