Exploit Kit Coruna Serang iOS 13–17.2.1 dengan 23 Eksploit Canggih

Google baru-baru ini mengungkap sebuah exploit kit baru dan sangat canggih bernama Coruna (juga dikenal sebagai CryptoWaters) yang menargetkan perangkat Apple iPhone dengan sistem operasi iOS versi 13.0 hingga 17.2.1. Penemuan ini mengungkapkan 23 eksploit dalam lima rantai serangan penuh yang dirancang untuk menembus keamanan iOS pada berbagai versi tersebut.

Teknologi dan Strategi Serangan Exploit Kit Coruna

Menurut Google Threat Intelligence Group (GTIG), nilai utama dari Exploit Kit Coruna terletak pada pengumpulan eksploit iOS yang sangat komprehensif, termasuk teknik eksploitasi yang tidak dipublikasikan serta metode untuk melewati mekanisme mitigasi keamanan di iOS. Framework yang membungkus exploit kit ini dirancang dengan sangat rapi, menggabungkan berbagai bagian eksploit secara natural menggunakan utilitas dan framework eksploitasi yang umum.

Exploit kit ini pertama kali terdeteksi pada awal tahun 2025 dan telah berpindah tangan di antara berbagai pelaku ancaman: dari operasi pengawasan komersial, kemudian ke kelompok yang didukung pemerintah, dan akhirnya ke aktor berorientasi finansial yang berbasis di China pada Desember 2025. Namun, detail bagaimana perpindahan tersebut terjadi masih belum jelas, menunjukkan adanya pasar aktif untuk eksploit zero-day bekas pakai yang memungkinkan eksploit digunakan ulang oleh pihak lain dengan tujuan berbeda.

Kampanye dan Target Serangan Exploit Kit Coruna

Google menemukan bahwa exploit kit ini digunakan dalam beberapa kampanye berbeda, salah satunya pada Juli 2025, di mana framework JavaScript yang mengandung eksploit dimuat tersembunyi sebagai iFrame di situs web Ukraina yang telah dikompromikan. Situs-situs ini melayani berbagai sektor seperti peralatan industri, alat ritel, layanan lokal, dan e-commerce. Kelompok yang diduga berada di balik serangan ini adalah UNC6353, yang diyakini sebagai aktor spionase Rusia.

Khususnya, framework ini hanya diaktifkan untuk pengguna iPhone dari lokasi geografis tertentu, dengan eksploit yang digunakan antara lain CVE-2024-23222, CVE-2022-48503, dan CVE-2023-43000 (kerentanan use-after-free di WebKit). Meskipun CVE-2023-43000 telah diperbaiki pada iOS 16.6, catatan perbaikan resmi baru diperbarui pada November 2025, menunjukkan adanya celah informasi yang bisa dimanfaatkan.

Pada Desember 2025, exploit kit ini kembali muncul melalui sekelompok situs palsu asal China yang terkait dengan sektor keuangan. Situs-situs ini mengarahkan pengguna iPhone dan iPad untuk mengakses situs tersebut, yang kemudian menyuntikkan iframe tersembunyi berisi exploit kit Coruna tanpa batasan geolokasi. Kampanye ini dikaitkan dengan kelompok ancaman UNC6691.

Detail Eksploit dan Versi iOS yang Terkena

Analisis mendalam mengungkapkan keberadaan versi debug dari exploit kit beserta berbagai sampel yang mencakup lima rantai eksploitasi penuh untuk iOS versi 13 hingga 17.2.1. Beberapa CVE yang digunakan antara lain:

• Neutron - CVE-2020-27932 (iOS 13.x)
• Dynamo - CVE-2020-27950 (iOS 13.x)
• Buffout - CVE-2021-30952 (iOS 13 sampai 15.1.1)
• Jacurutu - CVE-2022-48503 (iOS 15.2 sampai 15.5)
• IronLoader - CVE-2023-32409 (iOS 16.0 sampai 16.3.116.4.0)
• Photon - CVE-2023-32434 (iOS 14.5 sampai 15.7.6)
• Gallium - CVE-2023-38606 (iOS 14.x)
• Parallax - CVE-2023-41974 (iOS 16.4 sampai 16.7)
• Terrorbird - CVE-2023-43000 (iOS 16.2 sampai 16.5.1)
• Cassowary - CVE-2024-23222 (iOS 16.6 sampai 17.2.1)
• Sparrow - CVE-2024-23225 (iOS 17.0 sampai 17.3)
• Rocket - CVE-2024-23296 (iOS 17.1 sampai 17.4)

Google juga menyoroti bahwa eksploit Photon dan Gallium pernah digunakan sebagai zero-day dalam operasi spionase bernama Operation Triangulation. Exploit kit Coruna memakai modul yang dapat digunakan ulang untuk mempermudah eksploitasi berbagai kerentanan ini.

Implikasi Keamanan dan Rekomendasi

Selain eksploitasi, kelompok UNC6691 diketahui menggunakan exploit ini untuk menyebarkan stager binary bernama PlasmaLoader (PLASMAGRID) yang mampu mendekode QR code dan menjalankan modul tambahan untuk mencuri data dompet kripto serta informasi sensitif dari aplikasi seperti Base, Bitget Wallet, Exodus, dan MetaMask.

Implant ini memiliki daftar server Command and Control (C2) yang sudah diprogram, dengan mekanisme fallback berupa algoritma pembuatan domain (DGA) menggunakan seed "lazarus" untuk menghasilkan domain prediktabel berakhiran .xyz. Validasi domain dilakukan memakai layanan DNS publik Google.

Salah satu fitur unik Coruna adalah menghindari eksekusi jika perangkat dalam Lockdown Mode atau pengguna menggunakan mode browsing pribadi. Ini menunjukkan tingkat kecanggihan tinggi dalam menghindari deteksi.

Google dan para ahli keamanan menganjurkan pengguna iPhone untuk selalu memperbarui sistem operasi mereka secara rutin dan mengaktifkan Lockdown Mode guna memperkuat perlindungan terhadap ancaman ini.

Analisis Redaksi

Menurut pandangan redaksi, kemunculan Exploit Kit Coruna menandai pergeseran signifikan dalam lanskap serangan siber terhadap perangkat iOS. Sebelumnya, serangan spyware terhadap iPhone cenderung sangat terfokus dan terbatas, namun kini eksploitasi ini sudah menjadi lebih masif dan melibatkan aktor dari berbagai latar belakang—dari komersial hingga negara dan kriminal finansial.

Fenomena perpindahan exploit zero-day dalam pasar gelap juga menunjukkan bahwa keamanan digital kini menghadapi tantangan yang lebih kompleks. Eksploit yang awalnya mungkin dibuat untuk tujuan pengawasan pemerintah kini disalahgunakan oleh aktor kriminal untuk pencurian data dan aset digital. Ini memperlihatkan bagaimana teknologi serangan siber semakin mudah diakses dan digunakan ulang.

Ke depan, pengguna iPhone harus lebih waspada dan aktif dalam menjaga keamanan perangkatnya, terutama dengan memanfaatkan fitur proteksi tambahan seperti Lockdown Mode. Sementara itu, Apple perlu mempercepat respons keamanan dan memperketat pengawasan agar eksploit zero-day tidak mudah dieksploitasi dalam skala besar.

Terus ikuti perkembangan terbaru seputar keamanan siber dan tips proteksi perangkat di platform kami untuk tetap terinformasi dan aman dari ancaman berbahaya seperti ini.