Google's Threat Intelligence Group menerbitkan riset yang merinci kerangka kerja eksploit iOS canggih bernama Coruna – berisi 23 kerentanan dalam lima rantai eksploit penuh – yang digunakan oleh tersangka operator spionase Rusia dan penipu kripto asal China sepanjang 2025.
Perusahaan keamanan mobile iVerify secara terpisah concluded basis kodenya menunjukkan ciri khas alat yang dikembangkan pemerintah AS, menyebutnya sebagai kasus pertama yang diketahui dari kapabilitas iOS negara-bangsa yang kemungkinan dialihkan untuk penggunaan kriminal massal.
Semua kerentanan yang dieksploitasi Coruna telah ditambal di versi iOS saat ini. Perangkat yang menjalankan iOS 17.2.1 dan yang lebih lama, yang dirilis hingga Desember 2023, masih termasuk rentang yang terdampak.
Apa yang Terjadi
Google tracked Coruna melalui tiga operator berbeda sepanjang 2025. Kit ini pertama kali muncul pada Februari dalam rantai eksploit yang digunakan oleh pelanggan dari sebuah vendor pengawasan komersial yang tidak disebutkan namanya.
Menjelang musim panas, kerangka kerja JavaScript yang sama muncul sebagai iframe tersembunyi di situs web Ukraina yang terkompromi, secara selektif menargetkan pengguna iPhone berdasarkan geolokasi – dikaitkan dengan UNC6353, kelompok spionase Rusia yang diduga. Pada akhir 2025, seluruh toolkit telah digunakan di ratusan situs kripto dan judi berbahasa Mandarin palsu, mengompromikan sekitar 42.000 perangkat hanya dalam satu kampanye.
Kit ini beroperasi sebagai serangan drive-by: tanpa perlu klik. Target yang mengunjungi situs terkompromi akan memicu JavaScript secara senyap yang melakukan fingerprinting pada perangkat dan mengirimkan rantai eksploit yang disesuaikan. Payload yang sudah diadaptasi kriminal tersebut memindai frasa seed BIP39, mengambil data MetaMask dan Trust Wallet, dan mengekfiltrasi kredensial ke server command-and-control.
Mengapa Ini Penting
Rocky Cole, salah satu pendiri iVerify – mantan analis NSA – mengatakan basis kode Coruna “sangat hebat” dan memiliki sidik jari rekayasa yang sama dengan modul-modul yang sebelumnya secara publik dikaitkan dengan program pemerintah AS, termasuk komponen dari Operation Triangulation, kampanye iOS 2023 yang secara resmi dikaitkan Rusia dengan NSA. Washington tidak pernah mengomentari tuduhan tersebut.
Cole described situasi ini sebagai potensi “momen EternalBlue” – merujuk pada eksploit Windows yang dikembangkan NSA dan dicuri pada 2017 yang kemudian memungkinkan serangan WannaCry dan NotPetya.
Google mencatat adanya “pasar barang bekas” yang aktif untuk kerangka kerja eksploit zero-day, dengan jejak Coruna menegaskan bagaimana alat kelas negara bermigrasi melalui perantara ke infrastruktur kriminal tanpa titik serah yang jelas.
NSA tidak menanggapi permintaan komentar. Apple telah merilis patch yang mencakup semua kerentanan Coruna yang diketahui.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act