Menurut analisis mendalam yang dilakukan oleh perusahaan keamanan siber terkemuka, Anomali, Iran tidak bertindak sendiri dalam ruang siber ini. Mereka telah mengaktifkan kelompok-kelompok Advanced Persistent Threat (APT) yang memiliki kaitan erat dengan entitas-entitas kuat di dalam negeri. APT42 dan APT33, yang juga dikenal dengan nama MuddyWater, diidentifikasi sebagai garda terdepan dalam strategi siber Iran. Kedua kelompok ini memiliki afiliasi yang jelas dengan Islamic Revolutionary Guard Corps (IRGC) dan Kementerian Intelijen Iran, menunjukkan dukungan negara yang kuat dan koordinasi tingkat tinggi di balik operasi mereka. Keterlibatan langsung dari IRGC, sebuah organisasi militer dan paramiliter paling berpengaruh di Iran, serta Kementerian Intelijen, menandakan bahwa serangan siber ini bukan sekadar tindakan sporadis dari peretas independen, melainkan bagian dari agenda strategis nasional yang lebih besar.
SentinelOne, perusahaan keamanan siber global lainnya, memperkirakan bahwa kelompok-kelompok yang berafiliasi dengan Iran akan mengarahkan target mereka pada jaringan pertahanan, pemerintahan, dan intelijen Israel maupun Amerika Serikat dalam beberapa hari ke depan. Prediksi ini menyoroti urgensi ancaman dan kebutuhan akan kewaspadaan tinggi di antara target potensial. Serangan yang diantisipasi ini tidak hanya bertujuan untuk mengganggu operasi, tetapi juga untuk mengumpulkan informasi sensitif, merusak infrastruktur penting, dan pada akhirnya, mengirimkan pesan politik yang jelas mengenai kapasitas dan kemauan Iran untuk merespons agresi yang dirasakan.
Salah satu taktik yang dinilai paling mungkin digunakan adalah wiper malware. Wiper malware adalah perangkat lunak berbahaya yang dirancang khusus untuk menghapus data secara permanen dari sistem komputer, membuatnya tidak dapat diakses dan melumpuhkan fungsionalitas sistem. Efeknya bisa sangat merusak, menyebabkan kerugian data yang tidak dapat dipulihkan, menghentikan operasi bisnis atau pemerintah, dan memerlukan upaya pemulihan yang masif dan mahal. Serangan wiper tidak hanya menghancurkan data, tetapi juga dapat merusak kepercayaan publik dan menciptakan kekacauan yang meluas, menjadikannya senjata yang sangat efektif dalam perang siber.
Selain wiper malware, serangan distributed denial-of-service (DDoS) juga diperkirakan akan kembali digunakan secara luas. Serangan DDoS bekerja dengan membanjiri target, seperti server, situs web, atau layanan daring lainnya, dengan lalu lintas internet palsu dari berbagai sumber. Tujuan utamanya adalah untuk membebani sistem target hingga tidak bisa lagi menangani permintaan yang sah, sehingga layanan tersebut menjadi tidak bisa diakses oleh pengguna yang sebenarnya. Meskipun serangan DDoS mungkin tidak secara langsung menghancurkan data, dampaknya terhadap ketersediaan layanan dapat sangat signifikan, menyebabkan gangguan operasional, kerugian finansial, dan kerusakan reputasi. Kombinasi wiper dan DDoS menciptakan skenario ancaman berlapis, di mana satu serangan merusak data dan yang lainnya melumpuhkan akses, memaksimalkan disrupsi yang ditimbulkan.
Metode-metode serangan siber ini bukanlah hal baru bagi Iran. Dalam beberapa tahun terakhir, aktor-aktor yang dikaitkan dengan negara tersebut telah menunjukkan kemampuannya dengan menargetkan infrastruktur penting, sektor keuangan, dan domain pemerintahan di berbagai negara. Sejarah serangan siber Iran mencakup insiden-insiden yang mengganggu layanan perbankan, sistem energi, dan fasilitas industri. Pengalaman ini telah memungkinkan Iran untuk menyempurnakan Taktik, Teknik, dan Prosedur (TTP) mereka, menjadikan mereka ancaman siber yang semakin tangguh dan adaptif. Evolusi kemampuan siber Iran juga dapat ditelusuri kembali ke insiden Stuxnet, sebuah serangan siber canggih yang menargetkan program nuklir Iran pada awal 2010-an. Meskipun Stuxnet bukan berasal dari Iran, peristiwa tersebut diyakini telah memicu Iran untuk berinvestasi besar-besaran dalam pengembangan kapasitas siber ofensif dan defensifnya sendiri, mengubah mereka dari korban menjadi aktor siber yang proaktif.
Meskipun sejumlah kelompok pro-Iran kerap membesar-besarkan klaim keberhasilan operasi siber mereka, firma keamanan Sophos memberikan penilaian yang realistis: mereka tetap merupakan aktor yang mampu dan berbahaya. Penilaian ini penting karena mencegah meremehkan ancaman yang sebenarnya. Kemampuan teknis yang dimiliki oleh APT42 dan APT33, ditambah dengan sumber daya dan dukungan negara, memungkinkan mereka untuk melakukan serangan yang canggih dan berdampak. Mereka terus-menerus mengembangkan metode baru untuk menghindari deteksi dan menembus pertahanan siber yang kuat, menunjukkan tingkat adaptasi dan persistensi yang tinggi.
Di antara kelompok-kelompok pro-Iran yang aktif, Islamic Cyber Resistance Axis telah mengklaim melakukan sejumlah operasi terhadap target Israel. Klaim-klaim ini termasuk serangan terhadap perusahaan pertahanan Rafael, salah satu kontraktor pertahanan terkemuka Israel, dan layanan deteksi drone VigilAir. Serangan terhadap entitas-entitas pertahanan ini menunjukkan fokus Iran untuk menargetkan kemampuan militer dan teknologi tinggi Israel. Lebih lanjut, kelompok tersebut juga dilaporkan berupaya merekrut pakar siber baru untuk "pertempuran epik" melawan Israel dan Amerika Serikat. Seruan ini mengindikasikan upaya untuk memperluas kapasitas dan jangkauan operasional mereka, menciptakan semacam "tentara siber" yang ideologis dan termotivasi.
Namun, lanskap siber di Timur Tengah tidak hanya didominasi oleh aktor pro-Iran. Terdapat juga kelompok-kelompok anti-Iran yang aktif, yang menambah kerumitan konflik ini. Salah satu yang paling menonjol adalah Gonjeshke Darande, yang juga dikenal sebagai Predatory Sparrow. Kelompok ini sebelumnya mengklaim bertanggung jawab atas serangkaian serangan signifikan terhadap infrastruktur Iran. Ini termasuk serangan terhadap Bank Sepah, salah satu bank terbesar di Iran, sebuah pabrik baja Iran pada tahun 2022 yang menyebabkan gangguan produksi, serta gangguan sistem SPBU secara nasional pada tahun 2023 yang melumpuhkan distribusi bahan bakar di seluruh negeri. Keberadaan dan aktivitas kelompok seperti Gonjeshke Darande menunjukkan bahwa Iran juga menjadi target serangan siber dari pihak-pihak yang menentangnya, menciptakan siklus konflik siber yang bersifat timbal balik.
Kehadiran aktor non-negara, baik yang pro-Iran maupun anti-Iran, memperumit situasi keamanan siber di kawasan ini secara signifikan. Tidak seperti militer resmi suatu negara, kelompok-kelompok semacam ini seringkali sulit dikendalikan melalui jalur diplomatik konvensional. Mereka sering kali beroperasi dengan agenda ideologis yang kuat, motivasi politik, atau bahkan sebagai "tentara bayaran" siber yang memiliki tujuan spesifik. Atribusi serangan siber yang berasal dari kelompok non-negara juga menjadi tantangan besar, karena mereka dapat bertindak sebagai proksi atau menggunakan teknik untuk menyamarkan asal-usul serangan, sehingga sulit untuk menentukan siapa yang sebenarnya bertanggung jawab. Ketidakjelasan ini dapat memperburuk ketegangan, karena sulit untuk merespons atau meminta pertanggungjawaban secara langsung.
Firma keamanan Sophos sekali lagi mencatat bahwa, meskipun beberapa klaim yang dibuat oleh kelompok-kelompok ini mungkin dibesar-besarkan atau tidak sepenuhnya akurat, mereka tetap memiliki kemampuan teknis yang nyata. Ini berarti ancaman yang mereka timbulkan harus ditanggapi dengan serius, dan tindakan pencegahan serta respons yang tepat harus selalu di tempatkan. Perang siber di Timur Tengah telah menjadi arena yang dinamis dan kompleks, di mana aktor negara dan non-negara saling berhadapan, menggunakan teknologi canggih untuk mencapai tujuan politik dan militer.
Secara keseluruhan, keputusan Iran untuk mengandalkan serangan siber melalui APT42 dan APT33 sebagai alat balasan utama menandai eskalasi baru dalam konflik mereka dengan Israel dan Amerika Serikat. Dengan target yang jelas pada infrastruktur pertahanan, pemerintahan, dan intelijen, serta penggunaan taktik destruktif seperti wiper malware dan DDoS, Teheran menunjukkan komitmennya untuk memanfaatkan ranah siber sebagai sarana untuk memproyeksikan kekuatan dan memberikan respons terhadap tekanan konvensional. Kompleksitas ini diperparah oleh keberadaan aktor non-negara dan siklus serangan timbal balik, menciptakan lanskap siber yang sangat tidak stabil dan memerlukan kewaspadaan global yang berkelanjutan.
