Cyberthreat.id - Kelompok hacker Pioneer Kitten (alias Fox Kitten) dikenal karena menggunakan alat sumber terbuka (open source) untuk menyusupi layanan eksternal jarak jauh lalu menyelinap ke jaringan perusahaan.

Pioneer Kitten diduga kuat merupakan Advanced Persistent Threat (APT) yang berasal dari Iran dan dikenal karena menyerang VPN perusahaan selama beberapa bulan terakhir. Baru-baru ini, mereka terlihat menjual kredensial jaringan perusahaan di beberapa forum hacker.

Sejauh ini, target utama Pioneer Kitten adalah organisasi bisnis di Amerika Utara dan Israel di berbagai sektor. Mereka bekerja mewakili berbagai jenis kepentingan intelijen terkait pemerintah Iran.

Menurut Crowdstrike, kelompok APT ini sedang berupaya mencari sumber pendapatan tambahan, selain pekerjaan utamanya untuk meningkatkan gangguan guna mendukung pemerintah Iran melawan musuh politiknya.

Entitas yang ditargetkan

Pioneer Kitten telah aktif sejak tahun 2017. Kelompok ini sangat tertarik pada spionase siber yang menunjukkan keunggulan tim intelijen Iran.

Pada awal Agustus 2020, Pioneer Kitten menyerang sektor swasta dan pemerintah AS, dengan tugas utama menyediakan landasan awal atau "jalan pembuka" bagi kelompok hacker Iran lainnya misalnya APT33 (Shamoon), Oilrig (APT34), atau Chafer.

Kelompok ini telah menargetkan berbagai sektor, mulai dari pemerintah, pertahanan, teknologi, dan perawatan kesehatan di Amerika Utara dan Israel.

Selain itu, Pioneer Kitten juga telah dituduh menanam pintu belakang (backdoor) di industri penerbangan, ritel, media, dan di dunia teknik maupun engineering.

Modus operandi

Untuk intrusi jaringan, Pioneer Kitten mengandalkan tunneling SSH, alat open source, dan alat khusus yang disebut SSHMinion.

SSH Tunneling adalah teknik yang wajib dikuasai hacker. Teknik ini dipakai sebagai backdoor dari  dunia luar untuk langsung menembus ke dalam "behind enemy lines" melewati semua firewall, IDS, IPS atau segala hal yang berada di perbatasan. Secara sederhana, tunneling berarti mengirimkan data melalui koneksi lain yang sudah terbentuk.

Pioneer Kitten memanfaatkan beberapa eksploitasi penting dalam VPN komersial dan peralatan jaringan, termasuk VPN perusahaan Pulse Secure Connect (CVE-2019-11510), server Citrix dan gateway jaringan (CVE-2019-19781), dan F5 Networks BIG-IP load balancer (CVE  -2020-5902).

Penjualan data curian di forum hacker oleh Pioneer Kitten merupakan risiko utama bagi organisasi bisnis saat ini. Karena rahasia perusahaan tersedia secara komersial yang dapat mengakibatkan beberapa ancaman atau risiko tambahan bagi organisasi bisnis.

Untuk mengurangi risiko tersebut, organisasi/perusahaan disarankan untuk memperbarui kredensial keamanan secara berkala dan terus-menerus menilai infrastruktur keamanannya. []