Exploit Kit iOS “Coruna” Kini Dipakai untuk Pencurian Kripto
Sebuah rangkaian eksploit iOS tingkat spyware bernama “Coruna” terungkap telah digunakan tidak hanya dalam kampanye spionase terarah, tetapi juga dalam serangan bermotif finansial yang menargetkan pengguna dompet kripto.
Menurut laporan Google Threat Intelligence Group (GTIG), kit Coruna mencakup 23 eksploit berbeda yang dirangkai dalam lima rantai eksploit penuh untuk iOS versi 13.0 hingga 17.2.1 Pasted text.
Awalnya untuk Spionase, Kini untuk Kripto
Aktivitas Coruna pertama kali terdeteksi pada Februari 2025 dalam operasi yang dikaitkan dengan pelanggan vendor pengawasan. Peneliti memperoleh framework pengiriman berbasis JavaScript serta eksploit untuk CVE-2024-23222—celah WebKit yang memungkinkan eksekusi kode jarak jauh pada iOS 17.2.1. Apple telah menambalnya pada iOS 17.3 pada Januari 2024 setelah dieksploitasi sebagai zero-day Pasted text.
Framework yang sama kembali muncul pada musim panas 2025 dalam serangan watering hole yang dikaitkan dengan kelompok siber Rusia yang dilacak sebagai UNC6353, menargetkan pengguna iPhone yang mengunjungi situs Ukraina yang telah disusupi Pasted text.
Pada akhir 2025, kit ini muncul di situs perjudian dan kripto palsu berbahasa Mandarin. Aktivitas tersebut dikaitkan dengan aktor ancaman Tiongkok bermotif finansial UNC6691 Pasted text.
Kemampuan Eksploit Tingkat Lanjut
Setelah memperoleh seluruh kit pada akhir 2025, analis GTIG menemukan bahwa Coruna menggabungkan teknik canggih, termasuk:
- Remote Code Execution berbasis WebKit
- Bypass Pointer Authentication Code (PAC)
- Escape dari sandbox
- Eskalasi hak akses kernel
- Bypass Page Protection Layer (PPL) Pasted text
Beberapa eksploit memanfaatkan kerentanan yang sebelumnya diidentifikasi dalam Operation Triangulation pada 2023, yang mengeksploitasi fitur perangkat keras Apple yang tidak terdokumentasi Pasted text.
Framework Coruna akan melakukan fingerprinting perangkat dan versi sistem operasi sebelum memilih rantai eksploit yang sesuai. Jika Lockdown Mode atau mode penjelajahan privat aktif, proses eksploit akan dihentikan Pasted text.
Muatan Akhir: PlasmaGrid
Salah satu payload akhir yang dikirim melalui rantai eksploit adalah loader bernama PlasmaLoader, yang dilacak sebagai PlasmaGrid. Malware ini disuntikkan ke daemon root iOS “powerd” Pasted text.
Alih-alih berfungsi sebagai spyware penuh, PlasmaGrid mengunduh modul tambahan dari server command-and-control (C2) untuk menargetkan aplikasi dompet kripto seperti MetaMask, Phantom, Exodus, BitKeep, dan Uniswap Pasted text.
Data yang dicuri meliputi frasa pemulihan dompet (BIP39), teks sensitif seperti “backup phrase” dan “bank account”, serta data yang tersimpan di Apple Memos. Informasi tersebut dienkripsi menggunakan AES sebelum dikirim ke alamat C2 yang telah ditanamkan dalam kode Pasted text.
Untuk meningkatkan ketahanan terhadap takedown, implant juga menggunakan domain generation algorithm (DGA) dengan seed string “lazarus” untuk menghasilkan domain .xyz secara dinamis Pasted text.
Indikasi Pasar Zero-Day Sekunder
GTIG menyatakan belum dapat memastikan bagaimana Coruna beralih dari alat vendor pengawasan komersial ke tangan pelaku bermotif finansial. Namun, temuan ini menunjukkan kemungkinan adanya pasar aktif untuk eksploit zero-day “bekas pakai” Pasted text.
Perusahaan keamanan seluler iVerify menilai Coruna sebagai contoh jelas migrasi kemampuan spyware tingkat tinggi dari vendor pengawasan komersial ke aktor negara, dan akhirnya ke operasi kriminal skala luas Pasted text.
Google telah menambahkan situs dan domain terkait Coruna ke Safe Browsing dan menyarankan pengguna iOS untuk segera memperbarui perangkat ke versi terbaru. Jika pembaruan tidak memungkinkan, pengguna disarankan mengaktifkan Lockdown Mode Pasted text.
Kasus ini mempertegas bahwa lanskap ancaman seluler berkembang pesat, dan teknik yang sebelumnya hanya digunakan untuk menargetkan individu bernilai tinggi kini berpotensi menyerang pengguna iPhone biasa.
