Google Threat Intelligence Group (GTIG) merilis laporan pada hari Rabu, mengungkapkan bahwa sebuah alat exploit kerentanan iPhone bernama Coruna telah digunakan dalam aktivitas penipuan mata uang kripto secara massal. Perusahaan keamanan siber iVerify mengungkapkan bahwa alat Coruna kemungkinan berasal dari pemerintah AS, dan setelah tidak terkendali, digunakan oleh lawan dan organisasi kejahatan siber untuk penipuan mata uang kripto.
Analisis Teknologi Alat Coruna: Bagaimana Menargetkan Pencurian Dompet Kripto
(Sumber: Mandiant)
Coruna menggunakan teknologi JavaScript untuk melakukan fingerprinting terhadap perangkat iOS yang mengakses situs palsu, dan secara otomatis menanamkan exploit kerentanan setelah versi target terdeteksi. Setelah perangkat terinfeksi, alat ini secara sistematis mencari jenis informasi sensitif berikut:
Mnemonic Kripto: Secara aktif memindai file teks lokal yang mengandung kata kunci “backup phrase” dan “seed phrase”
Aplikasi Kripto Utama: Menargetkan aplikasi dompet terdesentralisasi seperti Uniswap dan MetaMask untuk mengekstrak kunci atau data akun
Informasi Akun Keuangan: Secara bersamaan mencari data sensitif terkait rekening bank dan pembayaran lainnya
GTIG mengonfirmasi bahwa Coruna tidak kompatibel dengan versi iOS terbaru saat ini, dan sangat menyarankan semua pengguna iPhone segera memperbarui sistem mereka. Bagi yang tidak dapat memperbarui, disarankan mengaktifkan “Lockdown Mode” yang disediakan Apple, yang diklaim secara resmi dapat melindungi dari serangan yang sangat kompleks dan bersifat target.
Dari Operasi Intel ke Situs Penipuan Kripto: Dua Jalur Penyebaran Coruna
Pelacakan GTIG menunjukkan bahwa alat Coruna melalui dua fase penggunaan yang sangat berbeda. Pada awalnya, diduga kelompok intelijen Rusia menargetkan pengguna iPhone di lokasi tertentu melalui situs web Ukraina yang telah diretas, menunjukkan ciri khas operasi pengumpulan intelijen.
Pada Desember 2025, GTIG menemukan bahwa dalam kelompok besar situs web keuangan palsu berbahasa Mandarin, digunakan kerangka JavaScript yang sama, termasuk sebuah situs tiruan yang meniru langsung platform pertukaran mata uang kripto WEEX. Ketika pengguna iOS mengakses situs palsu ini, alat secara otomatis mengekstrak data keuangan di latar belakang, dengan prioritas pada mnemonic dompet kripto, yang secara langsung mengancam keamanan kekayaan, mengubah alat serangan intelijen menjadi alat penipuan mata uang kripto skala besar.
Perdebatan Afiliasi: Apakah Ini Alat Pemerintah AS atau Perangkat Spy Komersial?
Aspek paling kontroversial dari insiden ini adalah asal-usul potensial Coruna. Rocky Cole, salah satu pendiri iVerify, mengatakan kepada WIRED bahwa alat ini “sangat kompleks, dikembangkan dengan biaya jutaan dolar, dan memiliki ciri khas modul yang sebelumnya telah dikaitkan dengan pemerintah AS,” dan menyebut ini sebagai kemungkinan “kasus pertama di mana alat pemerintah AS yang tidak terkendali dimanfaatkan oleh lawan dan kelompok kejahatan siber.”
Namun, peneliti keamanan utama Kaspersky berpendapat berbeda, menyatakan bahwa “tidak ditemukan bukti penggunaan ulang kode nyata dalam laporan yang telah dipublikasikan” untuk mendukung klaim tersebut. GTIG juga tidak secara langsung mengungkap identitas klien perusahaan pengawasan yang diduga pertama kali menggunakan Coruna, sehingga isu afiliasi ini masih belum terjawab.
Pertanyaan Umum
Apakah alat Coruna akan mempengaruhi iPhone versi terbaru?
GTIG mengonfirmasi bahwa lima exploit kerentanan Coruna menargetkan iOS versi 13.0 hingga 17.2.1, dan tidak kompatibel dengan versi iOS terbaru saat ini. Semua pengguna iPhone disarankan segera memperbarui sistem mereka. Bagi yang tidak dapat memperbarui, disarankan mengaktifkan “Lockdown Mode” untuk mengurangi risiko.
Bagaimana Google menemukan bahwa Coruna digunakan dalam aktivitas penipuan mata uang kripto?
Pada Februari 2025, GTIG mengidentifikasi beberapa fitur kode dari alat ini, melacaknya kembali ke kerangka JavaScript yang sama di situs Ukraina yang diretas. Selanjutnya, alat ini ditemukan telah sepenuhnya diterapkan di kelompok besar situs web palsu berbahasa Mandarin yang meniru platform WEEX, mengonfirmasi bahwa alat ini telah bertransformasi dari alat serangan intelijen menjadi alat penipuan mata uang kripto skala besar.
Bagaimana melindungi mnemonic dompet kripto agar tidak dicuri oleh alat seperti ini?
Selain segera memperbarui sistem iOS, disarankan menyimpan mnemonic secara offline di media cold storage seperti hardware wallet atau cadangan kertas, menghindari menyimpan mnemonic dalam bentuk teks terbuka di perangkat yang terhubung internet, dan melakukan verifikasi ulang keaslian semua situs web terkait kripto untuk menghindari mengunjungi situs keuangan yang sumbernya tidak jelas.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
