Di tengah gelombang protes nasional Iran yang meletus akhir tahun 2025 akibat inflasi dan krisis mata uang, sebuah operasi siber senyap bernama "RedKitten" terdeteksi sedang memburu para dokumentator pelanggaran HAM.

Laporan terbaru dari perusahaan keamanan siber Prancis, HarfangLab, yang dirilis Januari 2026, mengungkap bahwa aktor ancaman berbahasa Farsi ini memanfaatkan kekacauan sosial sebagai senjata. Mereka menyebarkan dokumen palsu yang diklaim berisi daftar pengunjuk rasa yang tewas, namun di balik data tersebut tersimpan malware canggih yang dirancang untuk memata-matai targetnya.

Baca Juga: Laporan WEF 2026: AI "Supercharge" Perlombaan Senjata Siber, 73% Eksekutif Terdampak Penipuan

Yang membuat kampanye ini menjadi preseden berbahaya adalah penggunaan Large Language Models (LLM) atau AI generatif oleh para peretas untuk mempercepat pembuatan alat serangan mereka.

Operasi RedKitten menunjukkan tingkat kecanggihan teknis yang memadukan layanan publik yang sah untuk menghindari deteksi:

1. Kode Buatan AI: Analisis terhadap macro VBA dalam dokumen Excel berbahaya menunjukkan jejak yang jelas dari penggunaan AI. Struktur kode, penamaan variabel, dan komentar seperti "PART 5: Report the result..."mengindikasikan bahwa peretas menggunakan alat seperti ChatGPT atau sejenisnya untuk menulis skrip serangan, menurunkan hambatan teknis bagi operator negara.
2. Infrastruktur "Gado-Gado" (Living off the Land):
   • GitHub: Digunakan sebagai Dead Drop Resolver (titik temu awal) untuk mengambil URL konfigurasi.
   • Google Drive: Menghosting gambar yang menyembunyikan konfigurasi jahat melalui teknik Steganografi.
   • Telegram: Berfungsi sebagai server Command-and-Control (C2). Malware SloppyMIO yang ditanam menerima perintah dan mengirim data curian melalui Bot API Telegram, membuatnya sulit dibedakan dari lalu lintas data normal.
3. Mekanisme Infeksi: Serangan dimulai dari arsip 7-Zip berisi file Excel. Saat dibuka, teknik AppDomainManager injection digunakan untuk menyuntikkan backdoor berbasis C# ke dalam sistem korban.

Kampanye ini sangat kejam karena memanipulasi rasa duka dan urgensi. File Excel pancingan berisi data palsu (usia dan tanggal lahir yang tidak cocok) mengenai korban kerusuhan, menargetkan LSM dan individu yang sedang putus asa mencari informasi kerabat yang hilang.

RedKitten bukan satu-satunya operasi yang berjalan. Investigasi paralel oleh aktivis Nariman Gharib dan TechCrunch mengungkap kampanye phishing lain yang menggunakan WhatsApp Web palsu. Serangan ini mampu membajak sesi WhatsApp, menyalakan kamera/mikrofon, dan mencuri lokasi korban secara real-time. Di sisi lain, kebocoran data dari Ravin Academy (sekolah siber yang terafiliasi dengan intelijen Iran MOIS) semakin menelanjangi struktur rekrutmen peretas negara tersebut.

Kasus RedKitten adalah bukti nyata bahwa AI telah mendemokratisasi kemampuan serangan siber canggih, bahkan bagi aktor negara sekalipun. Penggunaan AI untuk menulis kode malware mempercepat siklus pengembangan serangan (exploit development lifecycle), membuat varian ancaman baru muncul lebih cepat daripada kemampuan deteksi tradisional.

Berdasarkan analisis ancaman (Threat Intelligence) kami, terlihat pergeseran taktik di mana penyerang semakin bergantung pada infrastruktur publik (GitHub, Google Drive, Telegram) untuk menyembunyikan jejak. Bagi tim keamanan perusahaan, ini adalah mimpi buruk karena memblokir layanan-layanan produktivitas ini sering kali tidak mungkin dilakukan tanpa mengganggu operasional bisnis.