Google Threat Intelligence Group resmi mengungkap exploit chain berbahaya bernama DarkSword pada Kamis (19/03) yang aktif menarget iPhone sejak November 2025. Cukup mengunjungi satu situs web yang sudah dikompromikan, seluruh isi iPhone bisa dicuri dalam hitungan detik, termasuk data wallet crypto, seed phrase, dan password exchange seperti Coinbase, Binance, dan Ledger. Ini bukan peringatan hipotetis. Malware ini sudah aktif selama empat bulan dan sudah menyerang perangkat di Arab Saudi, Turki, Malaysia, dan Ukraina sebelum akhirnya terdeteksi.
Bagaimana DarkSword Bekerja
DarkSword adalah exploit chain yang merantai enam celah keamanan secara bersamaan, tiga di antaranya adalah zero-day yang belum diketahui publik sebelumnya. Serangan seluruhnya dimulai dari browser Safari. Begitu iPhone mengunjungi situs yang sudah dikompromikan melalui teknik watering hole, malware langsung bergerak dalam tiga tahap yang sangat cepat.
Tahap pertama, malware menembus sandbox Safari menggunakan kerentanan di mesin rendering WebKit. Tahap kedua, ia mengeksploitasi kelemahan di kernel iOS untuk mendapatkan akses tingkat sistem yang tidak terbatas. Tahap ketiga, malware menyuntikkan dirinya ke proses-proses inti iOS seperti Springboard dan daemon iCloud, memberi kendali penuh atas perangkat. Seluruh proses ini terjadi tanpa pengguna mengklik apapun, mengunduh aplikasi apapun, atau menerima notifikasi apapun, menurut laporan Google Threat Intelligence Group (19/03).
GHOSTBLADE: Yang Dicuri dalam Satu Sapuan
Setelah DarkSword berhasil masuk, ia mengaktifkan komponen bernama GHOSTBLADE, sebuah program dataminer berbasis JavaScript yang dirancang untuk mengekstrak data sebanyak mungkin dalam waktu singkat sebelum menutup jejaknya sendiri.
Daftar target GHOSTBLADE sangat spesifik dan komprehensif. Dari sisi crypto, ia mencuri data dari Coinbase, Binance, Kraken, KuCoin, OKX, Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom, dan Gnosis Safe. Dari sisi komunikasi dan data pribadi, GHOSTBLADE mengambil seluruh pesan iMessage, Telegram, WhatsApp, riwayat browsing Safari, password Wi-Fi tersimpan, foto dan video, data lokasi historis, serta kontak telepon. Setelah proses ekstraksi selesai, GHOSTBLADE secara otomatis menghapus semua jejak keberadaannya dari sistem, menurut laporan teknis Google (19/03). Korban tidak akan menyadari bahwa perangkatnya sudah diretas.
Siapa di Balik Serangan Ini
Google mengaitkan DarkSword dengan dua kelompok yang berbeda namun berkolaborasi. Kelompok pertama adalah UNC6353, kelompok peretas yang sebelumnya dikaitkan dengan operasi siber Rusia. Kelompok kedua adalah PARS Defense, sebuah vendor spyware komersial yang berbasis di Turki dan sebelumnya sudah masuk daftar pantau Google atas penggunaan alat surveilans ilegal.
Yang lebih mengkhawatirkan, Google menemukan DarkSword saat menginvestigasi exploit chain lain bernama Coruna yang terungkap dua minggu sebelumnya. Kedua exploit ini ternyata dihosting di infrastruktur server yang sama, membuktikan adanya ekosistem distribusi exploit tingkat tinggi yang terorganisir dan sistematis, menurut Google Cloud Blog (19/03).
Skala Ancaman: 220 hingga 270 Juta iPhone Rentan
Para peneliti keamanan dari Malwarebytes memperkirakan antara 220 juta hingga 270 juta perangkat iPhone di seluruh dunia saat ini masih menjalankan iOS versi 18.4 hingga 18.7 yang rentan terhadap DarkSword. Apple sudah merilis patch keamanan di iOS 18.7.6 dan iOS 26.3 yang menutup keenam celah yang dieksploitasi DarkSword. Namun selama pengguna belum melakukan update, perangkat mereka tetap dalam bahaya.
Kelompok yang paling berisiko adalah pengguna yang secara rutin mengakses situs-situs yang tidak terverifikasi, menggunakan Wi-Fi publik, atau yang memiliki aset kripto dalam jumlah signifikan di wallet self-custody maupun di exchange yang terhubung dengan aplikasi di iPhone mereka.
Dampak bagi Pengguna iPhone di Indonesia
Indonesia adalah salah satu negara dengan penetrasi iPhone yang cukup tinggi di Asia Tenggara, dengan jutaan pengguna aktif yang juga merupakan investor crypto. Pengguna yang menyimpan aset di aplikasi exchange lokal seperti Pintu dan Indodax melalui iPhone, atau yang menggunakan wallet self-custody seperti MetaMask dan Trust Wallet, semuanya berpotensi menjadi korban jika belum melakukan pembaruan iOS.
Yang perlu dipahami adalah bahwa serangan watering hole seperti DarkSword tidak memilih korban secara individual. Siapapun yang mengunjungi situs yang sudah dikompromikan, baik sengaja maupun tidak, bisa langsung menjadi target. Situs yang dikompromikan tidak harus situs yang mencurigakan. Dalam banyak kasus, pelaku menarget situs-situs yang banyak dikunjungi oleh kelompok tertentu, termasuk situs berita crypto, forum diskusi, atau halaman komunitas.
Langkah Perlindungan yang Harus Dilakukan Sekarang
Langkah pertama dan paling penting adalah segera memperbarui iOS ke versi terbaru. Buka Settings, pilih General, kemudian Software Update, dan install pembaruan yang tersedia. Ini adalah satu-satunya cara untuk menutup celah yang dieksploitasi DarkSword secara tuntas.
Untuk pengguna yang berisiko tinggi seperti jurnalis, aktivis, atau investor crypto dengan aset signifikan, Google dan Apple merekomendasikan mengaktifkan Lockdown Mode. Fitur ini bisa diakses melalui Settings, Privacy and Security, kemudian Lockdown Mode. Lockdown Mode membatasi banyak fungsi iPhone secara drastis namun secara signifikan meningkatkan resistensi perangkat terhadap exploit tingkat tinggi seperti DarkSword.
Langkah tambahan yang direkomendasikan adalah menghindari penggunaan Wi-Fi publik untuk mengakses aplikasi crypto atau exchange, mengaktifkan autentikasi dua faktor berbasis hardware key (bukan SMS) untuk semua akun exchange, dan memindahkan aset kripto dalam jumlah besar ke hardware wallet yang tidak terhubung ke iPhone.
Sebagai informasi, ini bukan pertama kalinya Google mengungkap exploit zero-day iOS di 2026. Sebelum DarkSword, Google sudah mengungkap Coruna (Februari 2026) dan LightSpy (Januari 2026) yang juga menarget iPhone dengan metode serupa. Tren ini menunjukkan bahwa iPhone semakin menjadi target utama aktor jahat tingkat tinggi, terutama terhadap pengguna yang menyimpan aset bernilai tinggi seperti cryptocurrency.
