Google rincikan kit eksploit iPhone Coruna sebagai ancaman baru bagi dompet crypto dan keamanan iOS

Peneliti Google telah mengungkapkan bagaimana sebuah kit eksploit iPhone canggih, yang digunakan dalam beberapa kampanye sejak 2025, telah menjadi senjata serius bagi para penyerang yang fokus pada kripto.

Google mengungkap kerangka kerja Coruna dan kemampuannya di iOS

Menurut laporan baru dari Google‘s Threat Intelligence Group, sebuah kerangka eksploit yang kuat bernama Coruna menargetkan pengguna iPhone dengan rangkaian kerentanan yang canggih. Alat ini berisi lima rangkaian eksploit iOS lengkap dan 23 kerentanan berbeda yang dapat mengompromikan perangkat yang menjalankan iOS 13 hingga iOS 17.2.1.

Kit eksploit iPhone ini memungkinkan penyerang menjalankan kode berbahaya melalui konten web dengan menyalahgunakan celah di mesin browser WebKit Apple dan komponen inti lainnya. Selain itu, setelah korban membuka situs web yang terinfeksi, kerangka ini langsung mengidentifikasi perangkat, menentukan model iPhone dan versi perangkat lunak yang terpasang sebelum memilih rangkaian eksploit paling efektif.

Para peneliti menjelaskan bahwa setelah mendapatkan akses awal, malware dapat mengirim payload lanjutan untuk mengumpulkan data yang sangat sensitif. Ini termasuk detail dompet cryptocurrency, informasi keuangan, dan catatan pribadi lainnya yang dapat dimonetisasi atau disalahgunakan dalam serangan berikutnya.

Dari situs crypto palsu hingga pengumpulan data skala besar

Dalam beberapa kampanye yang diamati, kerangka Coruna digunakan melalui situs judi dan cryptocurrency palsu yang dirancang khusus untuk menarik pengguna iPhone. Namun, penyerang juga bereksperimen dengan halaman arahan bertema lain untuk memperluas basis korban potensial sambil tetap fokus pada pemilik aset digital.

Payload berbahaya ini mampu memindai gambar dan file yang disimpan di perangkat untuk kata kunci tertentu seperti “backup phrase” atau “bank account”. Kemampuan ini memungkinkan aktor ancaman secara otomatis mengidentifikasi frasa pemulihan dompet dan data keuangan lainnya, yang berpotensi memberi mereka akses langsung ke dompet crypto dan rekening bank korban.

Setelah frasa pemulihan atau rahasia lain diekstraksi, penjahat dapat memindahkan dana dari dompet yang terkompromi dengan sedikit kemungkinan terdeteksi oleh pemilik perangkat sampai terlambat. Selain itu, data yang dikumpulkan ini dapat dijual kembali ke kelompok kejahatan siber lain, memperbesar dampak potensial.

Evolusi dari pengawasan ke penggunaan negara dan kejahatan siber

Investigasi Google menunjukkan bahwa alat Coruna tidak berasal dari lingkaran kriminal murni. Alat ini pertama kali muncul pada 2025 dalam operasi pengawasan yang ditargetkan, di mana operator tampaknya fokus memantau individu tertentu daripada mencuri dana secara besar-besaran.

Namun, seiring waktu, kit eksploit iPhone ini bermigrasi ke operasi yang lebih agresif dan sensitif secara geopolitik. Kemudian, ditemukan dalam serangan watering-hole terhadap pengguna Ukraina, yang diduga dilakukan oleh kelompok spionase Rusia. Dalam kampanye ini, situs web yang dikompromikan dan sering dikunjungi oleh target Ukraina disusupi dengan eksploit Coruna.

Akhirnya, kit eksploit yang sama diadopsi oleh peretas yang bermotivasi finansial dan terkait dengan China, menandai pergeseran dari spionase klasik ke kejahatan siber yang terang-terangan mencari keuntungan. Perkembangan ini menunjukkan bagaimana alat yang dibangun untuk pengumpulan intelijen dapat dengan cepat menyebar ke ekosistem kriminal yang lebih luas setelah bocor atau dibagikan.

Studi kasus migrasi spyware mobile dan risiko kripto

Analis keamanan berpendapat bahwa Coruna menunjukkan tren yang lebih luas dalam lanskap ancaman siber. Kerangka eksploit tingkat spyware yang canggih semakin banyak berpindah dari pasar pengawasan pemerintah atau komersial ke dunia kejahatan siber arus utama. Migrasi spyware mobile ini mengaburkan garis antara alat negara dan yang digunakan oleh sindikat kriminal biasa.

Karena ponsel pintar modern sering menyimpan dompet aset digital, aplikasi otentikasi, dan dokumen pribadi, alat ini secara langsung memungkinkan pencurian dompet crypto secara besar-besaran. Selain itu, konvergensi risiko keamanan mobile dan target cryptocurrency berarti bahwa perangkat iOS yang tidak diperbarui dan menyimpan aset digital menjadi sasaran yang menarik.

Keberadaan beberapa rangkaian eksploit iOS dalam satu kerangka juga menimbulkan kekhawatiran tentang penggunaan ulang. Setelah satu aktor memperoleh Coruna, mereka dapat menggunakannya kembali untuk kampanye baru, hanya mengubah situs web penipuan atau payload-nya sementara logika eksploitasi dasarnya tetap sama.

Langkah mitigasi dan pentingnya pembaruan iOS

Para peneliti menekankan bahwa menjaga perangkat tetap menggunakan versi iOS terbaru adalah salah satu pertahanan paling efektif. Menurut Google, kerangka Coruna tidak berfungsi terhadap versi perangkat lunak terbaru yang telah menerima patch untuk kerentanan yang dieksploitasi. Namun, banyak pengguna menunda pembaruan, meninggalkan iPhone lama terbuka dalam waktu yang lama.

Para ahli menyarankan pemilik iPhone menginstal patch keamanan segera setelah tersedia, menghindari memasukkan frasa pemulihan atau data bank ke aplikasi catatan atau file gambar, dan berhati-hati saat mengunjungi situs judi atau crypto yang tidak dikenal. Selain itu, organisasi dengan profil risiko tinggi juga harus mempertimbangkan alat deteksi ancaman mobile dan kebijakan penelusuran yang lebih ketat di perangkat perusahaan.

Dari perspektif yang lebih luas, sifat rangkaian eksploit berbasis WebKit dari serangan Coruna menegaskan bagaimana satu eksploit browser WebKit dapat membuka pintu untuk kompromi perangkat secara penuh. Ini juga memperkuat perlunya distribusi patch yang cepat dan terkoordinasi dari vendor serta adopsi cepat oleh pengguna akhir.

Pertemuan yang semakin meningkat antara keamanan mobile dan aset digital

Kasus Coruna menyoroti betapa eratnya hubungan antara keamanan sistem operasi mobile dan perlindungan aset digital. Dengan semakin banyak orang mengandalkan ponsel untuk mengelola kepemilikan crypto, pesan, dan perbankan, kit eksploit iPhone canggih apa pun kini memiliki implikasi langsung terhadap keamanan dana.

Kesimpulannya, riwayat kampanye yang dilacak Google menunjukkan bagaimana satu toolkit dapat berpindah dari pengawasan tertarget pada 2025 ke serangan watering-hole yang terkait negara dan akhirnya pencurian yang berorientasi keuntungan. Selain itu, ini menandakan bahwa para pembela harus menganggap kerangka serupa sudah beredar dan memprioritaskan pembaruan cepat, penyimpanan aman data dompet, serta pemantauan terus-menerus terhadap ancaman mobile.