Peretas Iran Menargetkan Aktivis Perempuan Hak Asasi Manusia dan Politik Di Timur Tengah

illustrasi

Cyberthreat.id – Perushaan keamanan siber Secureworks Counter Threat Unit (CTU), mengungkapkan bahwa aktor yang disponsori negara Iran terlibat dalam kampanye rekayasa sosial yang menargetkan peneliti dengan menyamar sebagai think tank AS.

Dikutip dari The Hacker News, perusahaan keamanan siber itu, mengaitkan aktivitas tersebut dengan grup peretas yang dilacaknya sebagai Cobalt Illusion, dan yang juga dikenal dengan nama APT35, Charming Kitten, ITG18, Phosphorus, TA453, dan Yellow Garuda.

“Terutama target dalam hal ini adalah semua perempuan yang aktif terlibat dalam urusan politik dan hak asasi manusia di kawasan Timur Tengah,” kata Secureworks Counter Threat Unit (CTU) dalam sebuah laporan.

Menurut SecureWork, penargetan akademisi, aktivis, diplomat, jurnalis, politisi, dan peneliti oleh aktor ancaman telah didokumentasikan dengan baik selama bertahun-tahun. Kelompok tersebut diduga beroperasi atas nama Korps Pengawal Revolusi Islam Iran (IRGC) dan telah menunjukkan pola penggunaan persona palsu untuk menjalin kontak dengan individu yang memiliki kepentingan strategis bagi pemerintah.

“Hal yang umum bagi Cobalt Illusion untuk berinteraksi dengan targetnya berkali-kali melalui platform perpesanan yang berbeda, aktor ancaman pertama-tama mengirim tautan dan dokumen jinak untuk membangun hubungan baik,” kata SecureWorks.

Salah satu taktik utamanya termasuk memanfaatkan pengambilan kredensial untuk mendapatkan kendali atas kotak surat korban serta menggunakan alat khusus seperti HYPERSCRAPE (alias EmailDownloader) untuk mencuri data dari akun Gmail, Yahoo!, dan Microsoft Outlook menggunakan kata sandi yang dicuri.

Malware pesanan lain yang ditautkan ke grup adalah alat "grabber" Telegram berbasis C++ yang memfasilitasi pengambilan data dalam skala besar dari akun Telegram setelah mendapatkan kredensial target. Bahkan, dalam aktivitas terbaru mereka berpura-pura sebagai pegawai Atlantic Council, sebuah think tank yang berbasis di AS, dan menjangkau peneliti urusan politik dan hak asasi manusia dengan dalih berkontribusi dalam sebuah laporan.

Untuk membuat tipuan itu meyakinkan, akun media sosial yang terkait dengan persona penipuan "Sara Shokouhi" (@SaShokouhi di Twitter dan @sarashokouhii di Instagram) mengklaim memiliki gelar PhD dalam politik Timur Tengah.

Terlebih lagi, foto profil di akun tersebut, menurut SecureWorks, disebut-sebut diambil dari akun Instagram milik seorang psikolog dan pembaca kartu tarot yang berbasis di Rusia. Tidak segera jelas apakah upaya tersebut menghasilkan serangan phishing yang berhasil. Akun Twitter yang dibuat pada Oktober 2022 ini tetap aktif hingga saat ini seperti halnya akun Instagram.

“Kelompok tersebut melakukan pengumpulan intelijen, seringkali intelijen yang berfokus pada manusia, seperti mengekstraksi isi kotak surat, daftar kontak, rencana perjalanan, hubungan, lokasi fisik, dll. Intel ini kemungkinan dicampur dengan sumber lain dan digunakan untuk menginformasikan operasi militer dan keamanan oleh Iran,” kata SecureWorks.