Gemini saidFBI Peringatkan Hacker Handala Gunakan Telegram Sebagai Pusat Kendali Malware

Biro Investigasi Federal AS (FBI) mengeluarkan peringatan kilat (flash alert) kepada para pelindung jaringan mengenai taktik baru peretas asal Iran. Kelompok siber yang berafiliasi dengan Kementerian Intelijen dan Keamanan (MOIS) negara tersebut dilaporkan secara aktif mengeksploitasi aplikasi perpesanan Telegram dalam kampanye serangan malware mereka.

Menurut laporan FBI, peretas menyalahgunakan fungsi Telegram untuk menjadikannya sebagai infrastruktur komando dan kontrol (C2). Kampanye peretasan ini secara spesifik menargetkan para jurnalis yang kritis terhadap pemerintah Iran, kelompok pembangkang Iran, serta berbagai organisasi oposisi lainnya di seluruh dunia.

“Mengingat memanasnya iklim geopolitik di Timur Tengah dan konflik yang sedang berlangsung, FBI menyoroti aktivitas siber MOIS ini,” tegas biro tersebut. Operasi ini berdampak pada pengumpulan intelijen ilegal, kebocoran data sensitif, hingga perusakan reputasi pihak-pihak yang menjadi target.

Rekayasa Sosial dan Tanggapan Telegram

Dalam mengeksekusi serangannya, para peretas Iran mengandalkan taktik rekayasa sosial (social engineering) untuk memanipulasi target agar mengunduh dan menginfeksi perangkat mereka dengan malware berbasis Windows. Begitu sistem berhasil disusupi, peretas dapat dengan leluasa mengeksfiltrasi berkas-berkas penting maupun mengambil tangkapan layar (screenshot) dari komputer korban dan mengirimkannya kembali melalui saluran Telegram.

Menanggapi laporan ini, juru bicara Telegram memberikan pernyataannya. “Aktor jahat bisa dan memang menggunakan saluran apa pun yang tersedia untuk mengendalikan malware, termasuk aplikasi pesan lain, email, atau bahkan koneksi web langsung,” jelas perwakilan Telegram. Pihaknya menegaskan bahwa moderator platform secara rutin menghapus akun mana pun yang terbukti terlibat dalam distribusi atau pengendalian malware.

Keterkaitan dengan Handala dan Homeland Justice

FBI mengaitkan rentetan serangan ini secara langsung dengan kelompok hacktivist pro-Palestina yang berafiliasi dengan Iran, Handala (juga dikenal sebagai Handala Hack Team, Hatef, Hamsa), serta kelompok ancaman Homeland Justice yang disponsori negara dan terkait dengan Korps Garda Revolusi Islam (IRGC) Iran.

Peringatan keamanan dari FBI ini dipublikasikan hanya sehari setelah otoritas AS melakukan penyitaan terhadap empat domain publik (di clearnet), yaitu handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org, dan karmabelow80[.]org. Keempat situs web tersebut sebelumnya digunakan oleh kelompok Handala, Homeland Justice, dan aktor ancaman ketiga bernama Karma Below, untuk membocorkan dokumen sensitif hasil retasan mereka dari korban di AS maupun global.

Peringatan ini juga kembali mengingatkan publik pada rekam jejak destruktif Handala. Sebelumnya, kelompok ini mendalangi serangan siber berskala masif terhadap raksasa teknologi medis AS, Stryker. Dalam insiden tersebut, mereka menyusup ke akun administrator domain Windows dan membuat akun Global Administrator baru. Akses ini kemudian disalahgunakan untuk meluncurkan perintah wipe via Microsoft Intune, yang berujung pada factory reset massal terhadap hampir 80.000 perangkat perusahaan dan gawai pribadi milik karyawan.