Ancaman Siber Skala Masif: Exploit Kit 'DarkSword' Retas Jutaan iPhone Tanpa Interaksi Pengguna
Baca dalam 60 detik
- Sebuah exploit kit bernama DarkSword ditemukan menargetkan jutaan pengguna iPhone yang masih menjalankan sistem operasi iOS 18.4 hingga 18.7 melalui taktik infeksi tanpa klik (zero-click/drive-by download).
- Memanfaatkan enam celah kerentanan zero-day (termasuk WebKit dan eskalasi Kernel), peretas mampu mencuri data kredensial tingkat tinggi, pesan terenkripsi, hingga akses dompet kripto, sebelum akhirnya menghapus jejaknya sendiri.
- Serangan canggih ini telah digunakan oleh kelompok spionase Rusia (UNC6353) dan vendor pengawasan komersial, memaksa Apple untuk segera menambal celah tersebut di pembaruan iOS 26.3.
Sebuah exploit kit iOS tingkat lanjut yang dijuluki "DarkSword" terdeteksi telah digunakan secara aktif oleh berbagai kelompok peretas yang disponsori negara bagian (state-sponsored) dan vendor spyware komersial. Memanfaatkan rentetan kerentanan zero-day, DarkSword mampu mengambil alih penuh perangkat iPhone untuk mencuri data pribadi hingga dompet kripto secara senyap.
Berdasarkan laporan investigasi gabungan dari Google Threat Intelligence Group (GTIG), Lookout, dan iVerify yang dirilis Rabu (18/3/2026), kerangka kerja eksploitasi ini secara spesifik menargetkan pengguna Apple yang masih menjalankan iOS versi 18.4 hingga 18.7. Serangan ini sangat berbahaya karena mempraktikkan rantai eksploitasi penuh (full-chain exploit) berbasis JavaScript murni yang bekerja tanpa memerlukan interaksi atau unduhan dari korban. Pengguna cukup mengunjungi situs web yang telah disusupi (watering hole attack) untuk memicu eksekusi kode berbahaya.
Dari perspektif teknis, kill chain DarkSword memanfaatkan enam celah kerentanan yang berbeda. Serangan bermula dari eksploitasi pada engine JavaScriptCore di WebKit (seperti CVE-2025-31277) untuk mendapatkan Remote Code Execution (RCE). Setelah berhasil, payload menembus batasan sandbox dan mengeksploitasi kerentanan tingkat kernel (termasuk bypass PAC CVE-2026-20700) untuk melakukan eskalasi hak istimewa (privilege escalation). Peneliti mendeteksi kelompok spionase Rusia UNC6353 dan vendor pengawasan Turki PARS Defense sebagai dua entitas utama yang mendalangi kampanye serangan ini di negara seperti Ukraina, Turki, dan Malaysia.
- Motif Ganda (Spionase & Finansial): Tidak seperti alat spionase biasa, DarkSword dirancang secara spesifik untuk memburu dan mengekstraksi data dari aplikasi dompet mata uang kripto (cryptocurrency wallets).
- Panen Data Masif: Malware ini menyedot riwayat lokasi, pesan WhatsApp/Telegram, kata sandi Wi-Fi terenkripsi, data Apple Health, hingga keychain perangkat dalam hitungan detik.
- Keluarga Malware Baru: Pasca-eksploitasi, DarkSword akan menyuntikkan salah satu dari tiga implan JavaScript di dalam memori: GHOSTBLADE, GHOSTKNIFE, atau GHOSTSABER, tergantung pada profil target.
Membedah anatomi serangannya, arsitektur DarkSword menunjukkan tingkat kecanggihan luar biasa yang mampu melewati mitigasi keamanan modern Apple seperti Page Protection Layer (PPL). Berikut adalah pemetaan fase teknis dari rantai eksploitasi DarkSword.
| Fase Eksploitasi | Vektor & Kerentanan (CVE) | Dampak pada Sistem Operasi |
|---|---|---|
| 1. Initial Access (RCE) | Safari Browser / WebKit (CVE-2025-31277 & CVE-2025-43529) | Kerusakan memori JavaScriptCore memungkinkan injeksi iframe berbahaya tanpa disadari pengguna saat membuka situs web. |
| 2. Privilege Escalation | Sandbox Escape & Kernel (CVE-2026-20700 & CVE-2025-43520) | Mem-bypass mekanisme keamanan PAC untuk mendapatkan akses baca/tulis di tingkat Kernel (Kernel R/W). |
| 3. Exfiltration & Cleanup | Eksekusi Implan (GHOSTBLADE / GHOSTKNIFE) | Mengakses area filesystem yang dibatasi, mencuri data sensitif dan kripto, lalu menghapus otomatis direktori yang dibuatnya (fileless approach). |
Merespons ancaman serius ini, Apple dilaporkan telah menambal seluruh kerentanan terkait pada rilis pembaruan iOS terbaru. Para pakar keamanan siber, termasuk firma iVerify yang memperkirakan masih ada ratusan juta perangkat yang rentan, sangat mendesak pengguna iPhone untuk segera memperbarui sistem operasi mereka ke versi iOS 26.3 ke atas atau mengaktifkan fitur Lockdown Mode untuk memblokir vektor serangan berbasis web ini.
