Sebagai Presiden AS Donald Trump mengancam penghancuran besar-besaran infrastruktur Iran di tengah meningkatnya perang, Iran kini tampaknya telah membalas dengan bentuk sabotase infrastrukturnya sendiri: Sebuah kampanye peretasan yang menyerang sistem kontrol industri di seluruh Amerika Serikat, termasuk perusahaan energi dan air, yang menurut lembaga-lembaga AS mempunyai dampak yang mengganggu dan merugikan.
Di sebuah penasehatan bersama diterbitkan pada hari Selasa, sekelompok lembaga AS termasuk FBI, Badan Keamanan Nasional, Departemen Energi, dan Badan Keamanan Siber dan Infrastruktur memperingatkan bahwa sekelompok peretas yang berafiliasi dengan pemerintah Iran telah menargetkan perangkat kontrol industri yang digunakan dalam serangkaian target infrastruktur penting termasuk di sektor energi, utilitas air dan air limbah, dan “fasilitas pemerintah” yang tidak ditentukan. Menurut agensi tersebut, para peretas telah menargetkan pengontrol logika yang dapat diprogram (PLC)—sejenis perangkat yang dirancang untuk memungkinkan kontrol digital terhadap mesin fisik—di fasilitas tersebut, termasuk yang dijual oleh perusahaan teknologi industri Rockwell Automation, dengan tujuan yang jelas untuk menyabotase sistem mereka.
Dengan mengkompromikan PLC tersebut, penasihat tersebut memperingatkan, para peretas berusaha mengubah informasi pada tampilan sistem kontrol industri, yang dalam beberapa skenario dapat menyebabkan waktu henti sistem, kerusakan, atau bahkan kondisi berbahaya. “Dalam beberapa kasus, aktivitas ini mengakibatkan gangguan operasional dan kerugian finansial,” demikian isi laporan tersebut, meskipun tidak memberikan rincian mengenai tingkat keparahan dampaknya.
“Sudah terdokumentasi dengan baik bahwa aktor-aktor Iran menargetkan sistem kontrol industri dan melihatnya sebagai penghubung untuk memberikan tekanan,” kata Rob Lee, salah satu pendiri dan CEO Dragos, sebuah perusahaan keamanan siber yang berfokus pada sistem kontrol industri, yang mengatakan bahwa perusahaannya telah merespons berbagai insiden yang menargetkan sistem industri sejak perang melawan Iran dimulai bulan lalu. “Kami telah melihat aktor-aktor negara dan non-negara di Iran menimbulkan risiko nyata dan menunjukkan kesediaan untuk merugikan masyarakat dengan mengorbankan sistem ini. Saya sepenuhnya berharap mereka terus memberikan tekanan dan menargetkan situs-situs yang dapat mereka akses.”
Ketika WIRED menghubungi Rockwell Automation, juru bicara perusahaan menjawab dalam sebuah pernyataan bahwa mereka “sangat memperhatikan keamanan produk dan solusinya dan telah berkoordinasi erat dengan lembaga pemerintah sehubungan dengan” nasihat hari Selasa, dan menunjuk ke dokumen itu punya diterbitkan bagi pelanggan tentang cara mengamankan PLC mereka dengan lebih baik.
Meskipun penasehatan tersebut tidak menyebutkan kelompok tertentu yang bertanggung jawab atas kampanye peretasan tersebut, namun peringatan tersebut mencatat bahwa serangan tersebut serupa dengan yang dilakukan oleh kelompok yang terkait dengan Iran. dikenal sebagai CyberAv3ngersatau Grup Shahid Kaveh, dimulai pada akhir tahun 2023. Tim peretas tersebut, yang diyakini bekerja untuk Korps Garda Revolusi Iran, melakukan beberapa gelombang serangan terhadap sasaran Israel dan AS dalam beberapa tahun terakhir, termasuk mendapatkan akses ke lebih dari seratus perangkat yang dijual oleh perusahaan teknologi sistem kontrol industri Unitronics dan paling umum digunakan dalam utilitas air dan air limbah.
Dalam kampanye peretasan tersebut, CyberAv3ngers menyetel nama perangkat Unitronics menjadi “Gaza”—mengacu pada invasi Israel ke wilayah tersebut sebagai pembalasan atas serangan Hamas pada 7 Oktober—dan mengubah tampilan perangkat untuk menampilkan gambar logo CyberAv3ngers. Meskipun awalnya hanya berupa vandalisme, perusahaan keamanan siber industri yang melacak serangan tersebut, termasuk Dragos dan Claroty, mengatakan kepada WIRED bahwa para peretas telah merusak kode perangkat Unitronics hingga mengganggu layanan jaringan utilitas air mulai dari Israel hingga Irlandia hingga fasilitas di Pittsburgh, Pennsylvania, di AS.
“Serangan Unitronics menunjukkan IRGC memang memiliki kemampuan meretas sistem kontrol industri,” kata Grant Geyer, kepala strategi Claroty. “Jika Anda melihat pedoman IRGC, mereka tahu bahwa mereka tidak dapat bersaing di bidang militer tradisional. Jadi mereka berusaha menyebabkan gangguan dalam domain siber dengan menggunakan teknik perang asimetris.”
Meskipun Departemen Luar Negeri AS memberikan hadiah $10 juta kepada kelompok tersebut dan Departemen Keuangan AS memberikan sanksi kepada enam pejabat IRGC yang memiliki hubungan dengan kelompok tersebut, CyberAv3ngers terus membobol perusahaan minyak dan gas AS pada tahun 2024, menurut Dragos, dan menginfeksi kontrol industri dan perangkat internet-of-things dengan malware yang dikenal sebagai IOControl. Kelompok ini tampaknya sedang bertransisi dari “penyerang oportunistik yang seluruh tujuan mereka adalah menyebarkan pesan ke ranah ancaman yang terus-menerus,” kata peneliti Claroty, Noam Moshe, kepada WIRED tahun lalu. Dalam kampanye malware IOControl tersebut, katanya, “mereka ingin dapat menginfeksi semua jenis aset yang mereka identifikasi sebagai aset penting dan membiarkan malware mereka di sana sebagai opsi untuk masa depan.”
Berita bahwa peretas Iran telah mengganggu target infrastruktur AS mungkin menandakan bahwa operasi peretasan yang mengganggu dari Iran semakin intensif seiring dengan memasuki bulan kedua perang. Di depan serangan udara awal seperti yang dilakukan AS dan Israel terhadap Iran, Komando Siber AS secara terbuka mengaku telah melumpuhkan pertahanan Iran melalui serangan siber.
Serangan balik Iran sebagian besar dilakukan oleh a kelompok yang dikenal sebagai Handala—sebuah kelompok “hacktivist” yang secara luas diyakini bekerja atas nama kementerian intelijen Iran—yang telah melancarkan serangan-serangan besar termasuk pelanggaran yang melumpuhkan perusahaan teknologi medis Stryker dan operasi hack-and-leak yang menargetkan akun Gmail pribadi lama milik direktur FBI Kash Patel.
Menyusul pesan Trump yang sangat agresif pada Selasa pagi bahwa “seluruh peradaban akan mati malam ini,” yang diposting ke platform media sosial Truth Social sebagai ancaman nyata untuk menghancurkan infrastruktur sipil Iran tanpa pandang bulu, Handala tampaknya merespons dengan ancamannya sendiri.
“Malam ini, tentara siber dan rudal akan bertempur berdampingan untuk satu negara,” demikian bunyi pesan di Telegram Handala yang diposting Selasa sore. “Kami memiliki malam yang spektakuler di depan!”
Diperbarui pada 17:09 ET, 7 April 2026: Menambahkan informasi kontekstual tambahan tentang serangan siber dan kelompok yang terkait dengan Iran.
Diperbarui pada 17:45 ET, 7 April 2026: Menambahkan komentar dari Grant Geyer Claroty.
