Membaca berita di portal daring yang resmi kini bisa berujung pada terkurasnya aset digital Anda. Tim intelijen ancaman dari Google, iVerify, dan Lookout baru saja membongkar operasi DarkSword, sebuah kit eksploitasi full-chain yang diperkirakan mengancam lebih dari 221 juta perangkat iPhone secara global. Ancaman ini bekerja cepat, senyap, dan sama sekali tidak membutuhkan interaksi klik dari korban.
Skala Kerentanan DarkSword
Selama bertahun-tahun, peretasan perangkat iOS tingkat tinggi sering kali bertumpu pada teknik rekayasa sosial atau spear-phishing. DarkSword mengambil pendekatan yang jauh lebih masif melalui metode watering hole. Peretas menyusupkan kode berbahaya berupa iframe ke dalam situs web yang sering dikunjungi target, seperti portal berita atau situs web pemerintah.
Ketika pengguna iPhone membuka situs tersebut menggunakan Safari, eksploitasi langsung tereksekusi di latar belakang tanpa memberikan tanda-tanda visual apa pun.
Rantai Serangan Tanpa Ampun
Dari perspektif teknis, DarkSword menunjukkan tingkat keahlian peretasan yang sangat tinggi. Skrip peretasannya ditulis sepenuhnya menggunakan bahasa JavaScript, membuatnya sangat modular dan mudah dikelola oleh operatornya.
Skrip ini merangkai enam kerentanan secara bersamaan untuk menembus pertahanan iOS, termasuk tiga celah zero-day (CVE-2026-20700, CVE-2025-43529, dan CVE-2025-14174). Serangan dimulai dengan memicu kelemahan pada eksekusi kode jarak jauh (RCE) di mesin peramban Safari. Setelah mendapat pijakan awal, DarkSword menjebol sistem isolasi proses GPU, lalu menaikkan hak aksesnya hingga mengambil alih kontrol inti sistem (kernel).
Karakteristik Teknis DarkSword
Vektor Serangan | Safari WebKit (Watering Hole) |
Target OS | iOS 18.4 - 18.7 |
Eksploitasi Utama | 6 Kerentanan (3 Zero-Day) |
Eksekusi Akhir | Kernel Privilege Escalation |
Setelah berhasil membobol sistem, eksploitasi ini melepaskan tiga program jahat bawaan: Ghostblade, Ghostknife, dan Ghostsaber. Ketiganya memiliki tugas spesifik untuk mendata isi perangkat dan mencuri data target.
Informasi yang diincar sangat komprehensif, mulai dari riwayat lokasi, kata sandi yang tersimpan, data Apple Health, hingga log percakapan dari iMessage, WhatsApp, dan Telegram.
Motif Ganda: Spionase dan Finansial
Hal yang membuat DarkSword sangat berbahaya adalah perpaduan antara kemampuan spionase tingkat negara bagian dengan motif pencurian finansial murni. Alat ini secara spesifik dirancang untuk memindai keberadaan dompet kripto di dalam iPhone. Aplikasi besar seperti Binance, Coinbase, Ledger, MetaMask, dan Kraken menjadi sasaran utama pengurasan aset.
Pendekatan operasionalnya adalah hit-and-run. DarkSword memanen dan mengirim semua data target keluar dari perangkat dalam hitungan detik atau menit. Setelah transmisi selesai, skrip ini akan menghapus jejaknya sendiri secara otomatis untuk mempersulit analisis forensik keamanan.
Status Risiko Perangkat iOS
Tim intelijen keamanan mengaitkan operasi DarkSword dengan UNC6353, sebuah kelompok peretas spionase asal Rusia. Namun, infrastruktur serangannya juga ditemukan pada operasi vendor spyware komersial, salah satunya PARS Defense yang berbasis di Turki.
Penyebaran lintas negara ini menjadi alarm bahaya. Operasi awal memang terpantau menargetkan Arab Saudi dan Turki pada akhir 2025. Namun, infeksi kemudian meluas ke situs-situs di Ukraina dan Malaysia. Fakta bahwa alat ini digunakan oleh perusahaan spyware komersial di kawasan Asia Tenggara mendongkrak level risiko bagi pengguna di Indonesia, terutama mereka yang berstatus sebagai high-profile target seperti eksekutif perusahaan, jurnalis, atau pejabat publik.
Kronologi Pelacakan DarkSword
Deteksi Awal
Serangan pertama terpantau menargetkan pengguna di Arab Saudi dan Turki.
Investigasi Dimulai
Google melaporkan temuan awal kelemahan WebContent ke pihak Apple.
Penambalan Parsial
Apple menambal celah dyld PAC bypass (CVE-2026-20700) di pembaruan iOS 26.3.
Publikasi Global
Operasi eksploitasi diungkap secara resmi oleh Google, Lookout, dan iVerify.
Tren Baru Peretasan Massal
DarkSword bukan satu-satunya ancaman yang sedang beredar. Dalam periode 30 hari yang sama, peneliti keamanan juga mengidentifikasi Coruna, kit eksploitasi serupa yang mengandalkan 23 kerentanan untuk meretas perangkat dengan sistem operasi iOS versi lama (iOS 13 hingga 17.2.1).
Temuan dua kit peretasan tingkat tinggi yang mampu melakukan eksploitasi massal dalam waktu berdekatan mengindikasikan pergeseran taktik. Kemampuan mengeksploitasi zero-day yang dulu eksklusif untuk target spesifik, kini dikomersialkan untuk meraup korban dalam jumlah masif.
Langkah Mitigasi Segera
Apple telah merilis perbaikan untuk menutup rantai kerentanan ini. Pengguna diwajibkan segera memperbarui sistem ke iOS 18.7.6. Bagi individu dengan risiko ancaman tinggi, mengaktifkan fitur Lockdown Mode di pengaturan iOS terbukti ampuh memblokir eksekusi ekploitasi DarkSword secara total.
Ketersediaan spyware komersial di Asia Tenggara membuktikan bahwa batasan antara senjata intelijen negara dan alat kriminal peretas finansial semakin kabur. Bagi pengguna perangkat Apple di Indonesia, rasa aman palsu bahwa ekosistem tertutup selalu kebal dari serangan harus segera ditinggalkan. Memperbarui sistem operasi kini bukan lagi sekadar mendapatkan fitur antarmuka terbaru, melainkan satu-satunya cara mencegah brankas digital Anda terkuras tanpa jejak.