Gelombang awal peretasan CyberAv3ngers, baik yang nyata maupun yang dipalsukan, tampaknya telah menjadi bagian dari balas dendam dengan kelompok peretas yang sangat agresif lain yang diyakini luas bekerja atas nama militer atau agensi intelijen Israel. Kelompok saingan itu, dikenal sebagai Predatory Sparrow, berulang kali menargetkan sistem infrastruktur penting Iran sambil menyembunyikan diri di balik depan aktivis peretas. Pada tahun 2021, mereka menonaktifkan lebih dari 4.000 pompa bensin di seluruh Iran. Lalu, pada tahun 2022, mereka menimbulkan kebakaran di sebuah pabrik baja mungkin sebagai serangan siber yang paling merusak dalam sejarah. Setelah kampanye peretasan CyberAv3ngers akhir 2023, dan peluncuran rudal terhadap Israel oleh pemberontak Houthi yang didukung Iran, Predatory Sparrow membalas dengan menonaktifkan ribuan pompa bensin Iran pada Desember tahun itu.
“Khamenei!” Tulis Predatory Sparrow di X, merujuk kepada pemimpin tertinggi Iran dalam bahasa Farsi. “Kami akan bereaksi terhadap provokasi jahat Anda di wilayah ini.”
Serangan Predatory Sparrow telah sangat terfokus pada Iran. Tetapi CyberAv3ngers tidak membatasi dirinya hanya pada target Israel, atau bahkan perangkat buatan Israel yang digunakan di negara lain. Pada April dan Mei tahun lalu, Dragos mengatakan, kelompok tersebut meretas sebuah perusahaan minyak dan gas AS—Dragos menolak untuk menyebutkan nama perusahaan tersebut—dengan cara meretas perangkat keamanan Sophos dan Fortinet perusahaan tersebut. Dragos menemukan bahwa dalam bulan-bulan berikutnya, kelompok tersebut melakukan pemindaian internet untuk perangkat sistem kontrol industri yang rentan, serta mengunjungi situs web produsen perangkat tersebut untuk membacanya.
Setelah serangan akhir 2023, Departemen Keuangan AS memberlakukan sanksi terhadap enam pejabat IRGC yang dikatakan terkait dengan kelompok tersebut, dan Departemen Luar Negeri menetapkan hadiah $10 juta untuk kepala mereka. Namun jauh dari ditakuti, CyberAv3ngers justru menunjukkan tanda-tanda berkembang menjadi ancaman yang lebih merajalela.
Pada Desember lalu, Claroty mengungkapkan bahwa CyberAv3ngers telah menginfeksi berbagai sistem kontrol industri dan perangkat internet-of-things (IOT) di seluruh dunia menggunakan malware yang mereka kembangkan. Alat tersebut, yang disebut Claroty IOControl, adalah belakang pintu berbasis Linux yang menyembunyikan komunikasinya dalam protokol yang dikenal sebagai MQTT yang digunakan oleh perangkat IOT. Malware ini telah ditanam di segala hal mulai dari router hingga kamera hingga sistem kontrol industri. Dragos mengatakan mereka menemukan perangkat yang terinfeksi oleh kelompok tersebut di seluruh dunia, dari AS hingga Eropa hingga Australia.
Menurut Claroty dan Dragos, FBI mengambil alih server komando dan kontrol untuk IOControl pada saat yang sama dengan laporan Desember Claroty, menetralkan malware tersebut. Namun kampanye peretasan CyberAv3ngers tetap menunjukkan evolusi berbahaya dalam taktik dan motif kelompok tersebut, menurut Noam Moshe, yang melacak kelompok tersebut untuk Claroty.
“Kami melihat CyberAv3ngers bergerak dari dunia penyerang oportunis di mana tujuan utama mereka adalah menyebarkan pesan ke dalam ranah ancaman yang persisten,” kata Moshe. Dalam kampanye peretasan IOControl, tambahnya, “mereka ingin dapat menginfeksi segala jenis aset yang mereka identifikasi sebagai kritis dan hanya meninggalkan malware mereka di sana sebagai pilihan untuk masa depan.”
Tepat apa yang mungkin ditunggu-tunggu kelompok tersebut—mungkin beberapa momen strategis di mana pemerintah Iran dapat mendapatkan keuntungan geopolitik dari menyebabkan gangguan digital yang luas—jauh dari jelas. Tetapi tindakan kelompok tersebut menunjukkan bahwa mereka tidak lagi hanya mencoba menyampaikan pesan protes terhadap tindakan militer Israel. Sebaliknya, kata Moshe, mereka mencoba untuk mendapatkan kemampuan untuk mengganggu infrastruktur asing sesuka hati.
“Ini seperti tombol merah di meja mereka. Dalam sekejap, mereka ingin dapat menyerang berbagai segmen, berbagai industri, berbagai organisasi, bagaimanapun mereka pilih,” katanya. “Dan mereka tidak akan pergi.”