Cyberthreat.id – Kaspersky, perusahaan keamanan siber asal Rusia, memperingatkan adanya operasi serangan spionase oleh peretas yang diduga berasal dari Iran.

Kaspersky mengatakan, kelompok peretas tersebut termasuk golongan APT—peretas canggih kemungkinan terafiliasi dengan sebuah negara—yang baru ditemukan.

Mereka dijuluki “Feocious Kitten” dan telah aktif setidaknya sejak 2015. Mereka menggunakan trik infeksi komputer untuk membajak instalasi Telegram dan Chrome untuk menyebarkan file berbahaya.

Dari pengamatan tersebut, Kaspersky mendapatkan implan Android jahat itu digunakan untuk menargetkan pengguna ponsel di Iran.

“Ferocious Kitten berada di bawah radar selama setidaknya enam tahun hingga peneliti Kaspersky mencurigai sepasang file .docs yang diunggah ke utilitas pemindaian malware VirusTotal Google,” tulis SecurityWeek, diakses Kamis (17 Juni 2021).

Salah satu dokumen yang menjebak membawa malware bernama “MarkiRAT”. Menurut Kaspersky, malware ini mampu merekam penekanan tombol dan konten clipboard, membajak kemampuan unduh dan unggah file, dan eksekusi perintah arbitrer pada mesin korban.

Kaspersky mengatakan, dari infrastruktur serangan, malware tersebut memiliki kemiripan dengan kelompok peretas yang juga berasal dari Iran, Domestic Kitten, yang menargetkan warga negara Iran.

Dalam analisis teknis, Kasperky mengatakan menemukan beberapa varian malware MarkiRAT, termasuk yang digunakan untuk mencegat eksekusi dan mendukung peluncuran aplikasi obrolan Telegram yang digunakan secara luas.

Varian terpisah juga terlihat menargetkan peramban Google Chrome, menggunakan utilitas dan kode BITS untuk memodifikasi pintasan Chrome untuk meluncurkan malware setiap kali korban menjalankan browser.

“Serangan itu tampaknya terutama menargetkan korban Iran. Selain sebagian besar nama file Persia, beberapa situs web jahat menggunakan subdomain yang meniru layanan populer di Iran agar tampak sah,” kata Kaspersky, mencatat bahwa sebagian serangan bahkan menargetkan alat VPN open-source bernama Psiphon yang digunakan oleh orang Iran untuk melewati sensor internet.

“Penargetan Psiphon dan Telegram, keduanya merupakan layanan yang cukup populer di Iran, menggarisbawahi fakta bahwa muatan dikembangkan dengan tujuan menargetkan pengguna Iran,” kata Kaspersky.”[]