Peretas Iran Serang Infrastruktur Kritis AS dengan Target PLC Terkoneksi Internet

Peretas Terkait Iran Serang Infrastruktur Kritis AS dengan Target PLC Terkoneksi Internet

Kelompok peretas yang terkait dengan Iran melakukan serangan siber terhadap perangkat teknologi operasional (OT) yang terhubung langsung ke internet di berbagai infrastruktur kritis Amerika Serikat. Target utama mereka adalah programmable logic controllers (PLC) yang digunakan dalam pengendalian industri. Peringatan ini disampaikan oleh beberapa badan keamanan siber dan intelijen AS pada Selasa (8/4/2026).

FBI mengungkapkan dalam sebuah unggahan di platform X bahwa "serangan-serangan tersebut menyebabkan berkurangnya fungsi PLC, manipulasi data tampilan, dan dalam beberapa kasus mengakibatkan gangguan operasional serta kerugian finansial."

Modus Operandi Serangan pada PLC dan Dampaknya

Menurut badan keamanan, kampanye ini merupakan bagian dari eskalasi baru serangan siber yang dilancarkan oleh kelompok peretas Iran sebagai respons terhadap konflik yang sedang berlangsung antara Iran dengan AS dan Israel.

Serangan ini telah menyebabkan gangguan pada PLC di beberapa sektor infrastruktur kritis AS melalui interaksi berbahaya dengan file proyek dan manipulasi data pada tampilan human-machine interface (HMI) serta supervisory control and data acquisition (SCADA).

Perangkat yang paling banyak diserang meliputi PLC dari Rockwell Automation dan Allen-Bradley yang digunakan pada layanan pemerintah, fasilitas publik, sistem air dan limbah (Water and Wastewater Systems/WWS), serta sektor energi.

"Para pelaku menggunakan infrastruktur pihak ketiga yang disewa dan perangkat lunak konfigurasi seperti Studio 5000 Logix Designer milik Rockwell Automation untuk membuat koneksi yang diterima oleh PLC korban," demikian peringatan resmi yang dikeluarkan. Target termasuk perangkat PLC jenis CompactLogix dan Micro850.

Setelah mendapatkan akses awal, pelaku memasang perangkat lunak Dropbear, sebuah aplikasi Secure Shell (SSH), pada titik akhir korban untuk mengaktifkan akses jarak jauh melalui port 22. Hal ini memungkinkan mereka mengekstrak file proyek dan memanipulasi data yang ditampilkan pada HMI dan SCADA.

Langkah Pencegahan yang Direkomendasikan

Untuk mengatasi ancaman tersebut, organisasi disarankan melakukan langkah-langkah berikut:

• Hindari mengekspos PLC langsung ke internet.
• Gunakan pengaman fisik atau perangkat lunak untuk mencegah modifikasi jarak jauh.
• Implementasikan multi-factor authentication (MFA) untuk akses.
• Pasang firewall atau proxy jaringan sebagai pengendali akses ke PLC.
• Selalu perbarui perangkat PLC dan nonaktifkan fitur autentikasi yang tidak digunakan.
• Monitor trafik jaringan untuk mendeteksi aktivitas yang tidak biasa.

Riwayat Serangan dan Eskalasi Siber Iran

Ini bukan kali pertama kelompok peretas Iran menyerang jaringan OT dan PLC. Pada akhir 2023, kelompok Cyber Av3ngers (juga dikenal sebagai Hydro Kitten, Shahid Kaveh Group, dan UNC5691) dilaporkan mengeksploitasi PLC Unitronics untuk menyerang Otoritas Air Kota Aliquippa, Pennsylvania Barat, yang menyebabkan setidaknya 75 perangkat terkena dampak.

"Peringatan ini mengonfirmasi apa yang telah kami amati selama berbulan-bulan: eskalasi siber Iran mengikuti pola yang sudah dikenal. Para pelaku kini bergerak lebih cepat dan luas, menargetkan infrastruktur IT dan OT," kata Sergey Shykevich, manajer grup intelijen ancaman di Check Point Research.

Sebelumnya, pola serangan serupa juga tercatat menimpa PLC di Israel pada Maret 2026. Menurut Shykevich, organisasi harus melihat ini bukan sebagai ancaman baru, melainkan ancaman yang semakin meningkat dan berbahaya.

Ekosistem Siber Terkait dan Perkembangan Terbaru

Selain serangan langsung pada PLC, terjadi lonjakan serangan Distributed Denial-of-Service (DDoS) dan operasi hack-and-leak yang dilakukan oleh kelompok proxy siber dan hacktivist yang menargetkan entitas Barat dan Israel, menurut laporan Flashpoint.

DomainTools Investigations (DTI) menyebut aktivitas kelompok seperti Homeland Justice, Karma/KarmaBelow80, dan Handala Hack sebagai ekosistem pengaruh siber terkoordinasi yang berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS), bukan sekedar kelompok hacktivist terpisah.

DTI mengungkapkan bahwa persona-persona ini berfungsi sebagai lapisan operasional yang saling bertukar dalam mendukung kemampuan yang konsisten. Tujuannya adalah memecah pesan, target, dan atribusi sembari menjaga kontinuitas infrastruktur dan metode serangan.

Platform Telegram dan domain publik berperan sebagai pusat penyebaran dan penguatan pesan, sekaligus menjadi sarana utama untuk operasi command-and-control (C2), memungkinkan malware berkomunikasi dengan bot yang dikendalikan pelaku, mengurangi beban infrastruktur, dan menyamarkan aktivitas sebagai operasi normal.

Menurut DTI, "ekosistem ini merupakan instrumen pengaruh siber yang diarahkan negara, di mana operasi teknis terintegrasi erat dengan manipulasi narasi dan amplifikasi media untuk mencapai efek koersif dan strategis."

Keterkaitan MuddyWater dengan Ekosistem Kriminal Siber

Dalam perkembangan lain, JUMPSEC mengungkap hubungan kelompok siber berlabel MuddyWater dengan ekosistem kriminal, yang menggunakan setidaknya dua varian CastleRAT untuk menyerang target Israel. CastleRAT merupakan trojan akses jarak jauh yang merupakan bagian dari framework CastleLoader, yang ditautkan oleh Recorded Future pada kelompok yang disebut GrayBravo (atau TAG-150).

Operasi ini mengandalkan PowerShell deployer bernama "reset.ps1" yang meluncurkan malware JavaScript baru bernama ChainShell. Malware ini menggunakan kontrak pintar di blockchain Ethereum untuk mengambil alamat C2 dan mengunduh kode JavaScript tahap selanjutnya untuk dijalankan di host yang terinfeksi.

JUMPSEC juga mencatat bahwa loader PowerShell ini mengirimkan malware botnet bernama Tsundere (juga dikenal sebagai Dindoor). ChainShell dan Tsundere merupakan komponen terpisah dalam platform TAG-150 yang digunakan bersamaan dengan CastleRAT.

"Adopsi layanan MaaS kriminal Rusia oleh aktor negara Iran memiliki dampak langsung bagi pihak yang bertahan. Organisasi yang menjadi target MuddyWater, terutama di sektor pertahanan, dirgantara, energi, dan pemerintahan, kini menghadapi ancaman yang menggabungkan target negara dengan alat ofensif komersial," kata JUMPSEC.

Analisis Redaksi

Menurut pandangan redaksi, eskalasi serangan siber yang dilakukan oleh kelompok terkait Iran ini bukan hanya soal gangguan teknis semata, melainkan menandai sebuah perang siber yang semakin intens dan berlapis antara Iran dan AS beserta sekutunya. Menargetkan PLC yang mengendalikan infrastruktur kritis seperti energi dan air menunjukkan niat untuk menimbulkan dampak nyata di dunia fisik, yang dapat berujung pada kerusakan sistemik dan potensi ancaman terhadap keselamatan publik.

Lebih jauh, keterlibatan aktor negara yang memanfaatkan alat kriminal komersial (MaaS) memperumit upaya pertahanan dan atribusi, sehingga organisasi harus meningkatkan kewaspadaan dan memperkuat keamanan OT dan IT secara menyeluruh. Perusahaan dan lembaga di sektor kritis harus segera meninjau kembali kebijakan keamanan termasuk segmentasi jaringan dan proteksi akses jarak jauh.

Ke depan, penting bagi publik dan pengambil kebijakan untuk tidak meremehkan dinamika geopolitik siber ini karena dapat berkembang menjadi ancaman nasional yang serius. Pemantauan dan kolaborasi internasional dalam intelijen siber menjadi kunci dalam menghadapi ancaman yang terus berubah ini.

Informasi lebih lanjut dan pembaruan terkait serangan ini dapat diakses melalui laporan resmi dan sumber terpercaya, termasuk The Hacker News.