Google's Threat Intelligence Group menerbitkan riset yang merinci kerangka eksploit iOS canggih bernama Coruna – berisi 23 kerentanan di lima rantai eksploit penuh – yang digunakan oleh operator yang diduga sebagai pelaku spionase Rusia dan penipu mata uang kripto asal China sepanjang 2025.
Perusahaan keamanan mobile iVerify secara terpisah concluded basis kodenya memiliki ciri khas alat yang dikembangkan pemerintah AS, menyebutnya sebagai kasus pertama yang diketahui tentang kapabilitas iOS tingkat negara-bangsa yang kemungkinan didaur ulang untuk penggunaan kriminal massal.
Semua kerentanan yang dieksploitasi Coruna telah ditambal di versi iOS saat ini. Perangkat yang menjalankan iOS 17.2.1 dan yang lebih lama, yang dirilis hingga Desember 2023, tetap berada dalam rentang yang terdampak.
Apa yang Terjadi
Google tracked Coruna melalui tiga operator berbeda sepanjang 2025. Kit ini pertama kali muncul pada Februari dalam rantai eksploit yang digunakan oleh pelanggan dari sebuah vendor pengawasan komersial yang tidak disebutkan namanya.
Menjelang musim panas, kerangka kerja JavaScript yang identik muncul sebagai iframe tersembunyi di situs web Ukraina yang telah dikompromikan, menargetkan pengguna iPhone secara selektif berdasarkan geolokasi – yang diatribusikan ke UNC6353, kelompok spionase Rusia yang diduga. Pada akhir 2025, seluruh toolkit telah digunakan di ratusan situs web kripto dan judi berbahasa Mandarin palsu, yang diperkirakan mengompromikan sekitar 42.000 perangkat hanya dalam satu kampanye.
Kit ini beroperasi sebagai serangan drive-by: tanpa perlu klik. Target yang mengunjungi situs yang telah dikompromikan memicu JavaScript senyap yang melakukan fingerprinting perangkat dan mengirimkan rantai eksploit yang disesuaikan. Payload yang sudah diadaptasi oleh kriminal tersebut memindai frasa seed BIP39, mengumpulkan data MetaMask dan Trust Wallet, dan mengekstrak kredensial ke server command-and-control.
Mengapa Ini Penting
Co-founder iVerify Rocky Cole – mantan analis NSA – mengatakan basis kode Coruna “superb” dan memiliki sidik rekayasa yang mirip dengan modul yang sebelumnya secara publik dikaitkan dengan program pemerintah AS, termasuk komponen dari Operation Triangulation, kampanye iOS 2023 yang secara resmi dikaitkan Rusia dengan NSA. Washington tidak pernah mengomentari tuduhan tersebut.
Cole described situasi ini sebagai potensi “momen EternalBlue” – merujuk pada eksploit Windows buatan NSA yang dicuri pada 2017 dan kemudian memicu serangan WannaCry dan NotPetya.
Google menyoroti adanya “pasar barang bekas” aktif untuk kerangka kerja eksploit zero‑day, dengan jejak Coruna yang menegaskan bagaimana alat kelas negara bermigrasi melalui broker ke infrastruktur kriminal tanpa titik penyerahan yang jelas.
NSA tidak menanggapi permintaan komentar. Apple telah merilis patch yang mencakup semua kerentanan Coruna yang diketahui.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act