TA446 Gunakan DarkSword Bocor untuk Kampanye Spear-Phishing Target iOS

TA446, kelompok ancaman siber yang diduga kuat terkait dengan pemerintah Rusia, baru-baru ini melancarkan kampanye spear-phishing terarah yang memanfaatkan exploit kit iOS bernama DarkSword yang bocor ke publik. Kampanye ini terungkap pada tanggal 26 Maret 2026 dan berfokus pada perangkat Apple, seperti iPhone dan iPad, yang membuat Apple sendiri mengeluarkan peringatan keamanan kepada penggunanya.

DarkSword dan Serangan Spear-Phishing TA446

Menurut laporan dari Proofpoint, TA446—yang juga dikenal dengan nama Callisto, COLDRIVER, dan Star Blizzard—adalah kelompok yang berafiliasi dengan Badan Keamanan Federal Rusia (FSB). Kelompok ini selama ini dikenal melakukan serangan spear-phishing untuk mengumpulkan kredensial dan data sensitif dari target yang dianggap penting.

Namun, serangan terbaru menggunakan DarkSword ini berbeda karena menargetkan perangkat iOS secara langsung. Email palsu yang menyamar sebagai undangan diskusi dari Atlantic Council dikirimkan dari akun yang sudah diretas, berisi tautan yang mengarahkan korban ke exploit kit DarkSword yang kemudian menyebarkan malware bernama GHOSTBLADE, sebuah perangkat lunak pengambil data (dataminer).

Salah satu korban yang menerima email tersebut adalah Leonid Volkov, politisi oposisi Rusia yang juga direktur politik Yayasan Anti-Korupsi, menunjukkan target serangan yang sangat terpilih dan politis.

Teknik dan Dampak Serangan

Proofpoint menjelaskan bahwa pengujian otomatis terhadap tautan tersebut mengarahkan ke dokumen PDF yang tampak aman, yang kemungkinan merupakan mekanisme penyaringan untuk hanya mengaktifkan exploit kit jika diakses melalui browser iPhone. Ini menandakan serangan sangat terfokus pada pengguna perangkat Apple.

Selain itu, TA446 juga diketahui mengirimkan email dalam volume yang meningkat drastis selama dua minggu terakhir. Email itu membawa lampiran file ZIP yang diproteksi kata sandi dan berisi backdoor yang dikenal dengan nama MAYBEROBOT. Backdoor ini membuka jalan bagi pencurian informasi dan akses tidak sah ke perangkat korban.

Penelusuran lebih lanjut menemukan domain yang digunakan TA446, yaitu escofiringbijou[.]com, yang terkait dengan loader DarkSword yang diunggah ke VirusTotal. Analisis dari urlscan[.]io juga mengonfirmasi bahwa domain ini melayani seluruh rangkaian komponen DarkSword, termasuk pengalihan awal, exploit loader, eksekusi kode jarak jauh, dan mekanisme bypass Pointer Authentication Code (PAC).

Risiko dan Implikasi Keamanan Mobile

Menurut Proofpoint, kampanye ini memiliki cakupan yang jauh lebih luas dari biasanya, menyasar berbagai sektor seperti pemerintahan, lembaga pemikir, pendidikan tinggi, keuangan, dan bidang hukum. Hal ini mengindikasikan bahwa TA446 sedang memanfaatkan kemampuan baru dari DarkSword dalam kampanye oportunistik yang lebih besar.

Menanggapi ancaman ini, Apple mulai mengirimkan notifikasi di Layar Kunci kepada pengguna iPhone dan iPad yang menjalankan versi lama iOS dan iPadOS, memperingatkan mereka akan adanya serangan berbasis web dan mengimbau untuk segera memperbarui perangkat demi perlindungan maksimal.

Peringatan dari Apple ini menandai langkah tidak biasa yang menunjukkan bahwa ancaman DarkSword dianggap serius dan melibatkan risiko yang cukup besar bagi pengguna perangkat Apple di seluruh dunia.

Potensi Demokratisasi Eksploit Negara

Selain itu, bocornya versi terbaru DarkSword di GitHub menimbulkan kekhawatiran bahwa eksploit canggih yang sebelumnya hanya dimiliki oleh negara-negara bisa menjadi mudah diakses oleh aktor jahat dengan kemampuan terbatas. Justin Albrecht, peneliti utama di Lookout, menyatakan:

"DarkSword membantah anggapan umum bahwa iPhone kebal terhadap ancaman siber dan serangan mobile canggih hanya digunakan dalam upaya terarah terhadap pemerintah dan pejabat tinggi."

Albrecht juga menyoroti bahwa versi DarkSword yang mudah digunakan ini dapat mengubah lanskap ancaman mobile menjadi lebih berbahaya karena menjadi malware komoditas yang bisa dipakai oleh siapa saja.

Analisis Redaksi

Menurut pandangan redaksi, penggunaan DarkSword oleh TA446 menandai eskalasi signifikan dalam ancaman keamanan siber terhadap perangkat mobile, khususnya iOS yang selama ini dianggap relatif aman. Ini bukan hanya soal serangan yang semakin canggih, tapi juga soal bagaimana eksploit yang semula terbatas di tangan negara kini bisa tersebar luas dan dipakai oleh berbagai kelompok ancaman.

Lebih jauh, kampanye ini menunjukkan bahwa serangan siber kini semakin terarah dan luas menyasar berbagai sektor penting, bukan hanya target politik atau militer. Hal ini berpotensi memperbesar risiko pencurian data dan spionase, yang pada akhirnya bisa berdampak pada stabilitas politik dan ekonomi.

Penting bagi pengguna perangkat Apple untuk segera memperbarui sistem operasi mereka dan meningkatkan kewaspadaan terhadap email mencurigakan. Sementara itu, industri keamanan siber harus terus memantau perkembangan eksploit ini dan mengembangkan solusi proteksi yang lebih efektif.

Untuk informasi lebih lengkap dan update terkini mengenai ancaman ini, Anda dapat membaca laporan lengkap di The Hacker News serta mengikuti berita dari CNN Indonesia Teknologi.