Sebuah exploit kit dan framework pengiriman baru yang dijuluki “DarkSword” terdeteksi menargetkan perangkat iOS. Ancaman siber beresiko tinggi ini dirancang secara khusus untuk meretas dan menguras berbagai informasi pribadi pengguna iPhone, termasuk membobol kredensial dari aplikasi dompet mata uang kripto.
Berdasarkan investigasi gabungan dari sejumlah firma intelijen ancaman, DarkSword diketahui mengincar perangkat iPhone yang menjalankan sistem operasi iOS 18.4 hingga 18.7. Serangan ini memiliki keterkaitan kuat dengan beberapa kelompok peretas global. Salah satu aktor utamanya adalah UNC6353, kelompok yang diyakini berasal dari Rusia dan sebelumnya juga mendalangi rantai eksploitasi Coruna pada target-target di Ukraina. Selain itu, kampanye peretasan serupa juga ditemukan di Timur Tengah dan digunakan oleh vendor pengawasan komersial.
Analisis mendalam menunjukkan bahwa exploit kit ini beroperasi dengan memanfaatkan enam kerentanan keamanan kritis yang mencakup sandbox escape, privilege escalation, dan remote code execution. Kabar baiknya, seluruh kelemahan sistem tersebut telah didokumentasikan dan ditambal oleh Apple pada rilis pembaruan iOS terbaru.
Distribusi Tiga Varian Malware Berbahaya
Dalam operasinya yang terpantau aktif sejak akhir 2025, sistem DarkSword mendistribusikan tiga keluarga malware utama ke dalam perangkat korban. Pertama adalah GHOSTBLADE, sebuah dataminer berbasis JavaScript yang bertugas menguras data dompet kripto, riwayat peramban, lokasi, hingga basis data komunikasi dari aplikasi seperti iMessage, Telegram, dan WhatsApp.
Keluarga malware kedua adalah GHOSTKNIFE, yang berfungsi sebagai backdoor untuk mengekstraksi data akun yang sedang login, rekaman suara, dan pesan. Varian terakhir, GHOSTSABER, merupakan backdoor JavaScript tambahan yang memiliki kapabilitas untuk melakukan enumerasi perangkat, mendaftar fail internal, serta mengeksekusi instruksi kode jarak jauh.
Metode Infeksi via Safari dan Penggunaan LLM
Rantai serangan DarkSword umumnya bermula dari peramban Safari. Melalui skema 1-click exploit, peretas menyusupkan iframe berbahaya pada HTML situs web yang telah dikompromikan. Komponen utama malware kemudian akan menyuntikkan mesin JavaScript langsung ke dalam layanan inti iOS yang memiliki hak istimewa tinggi, seperti Wi-Fi, Springboard, Keychain, dan iCloud.
Setelah akses istimewa sistem didapat, modul pencuri data langsung beraksi memanen informasi. Cakupan data yang dicuri terbilang sangat komprehensif, meliputi kata sandi yang tersimpan, foto tersembunyi, akses ke dompet kripto (seperti Coinbase, Binance, dan Ledger), riwayat panggilan dan lokasi, informasi kalender, hingga data medis dari Apple Health.
Menariknya, operasi siber ini tampaknya tidak dirancang untuk spionase jangka panjang. Segera setelah seluruh kepingan data diekstraksi ke server peretas, DarkSword memprogram dirinya untuk menghapus seluruh fail sementara (temporary files) dan keluar dari sistem guna menghilangkan jejak digital.
Fakta lain yang menjadi sorotan para peneliti adalah ditemukannya indikasi kuat penggunaan bantuan kecerdasan buatan (Large Language Model / LLM) dalam pengembangan kode malware ini. Struktur kodenya dinilai sangat mutakhir, terawat, dan menyerupai platform profesional komersial yang memfasilitasi pengembangan modul lanjutan secara cepat.
Sebagai langkah mitigasi utama, pengguna iPhone sangat disarankan untuk segera melakukan pembaruan ke versi iOS 26.3.1. Sementara itu, bagi individu yang merasa berada dalam risiko tinggi menjadi target kejahatan siber atau spionase, mengaktifkan fitur Lockdown Mode bawaan Apple dapat memberikan lapisan perlindungan berlapis yang efektif untuk menangkal intrusi semacam ini.