Teknik peretasan iPhone terkadang dideskripsikan hampir seperti hewan langka dan sulit ditangkap: Peretas telah menggunakannya secara diam-diam dan hati-hati terhadap sejumlah kecil target pilihan sehingga mereka jarang terlihat di alam liar. Sekarang serentetan kejadian baru-baru ini kampanye spionase dan kejahatan dunia maya malah menggunakan alat pengambil alih telepon yang sama, yang tertanam di situs web yang terinfeksi, untuk meretas ribuan telepon tanpa pandang bulu. Dan khususnya satu teknik baru—yang mampu mengambil alih ratusan juta teknologi perangkat iOS—Telah muncul di web dalam bentuk yang mudah digunakan kembali, mewakili sebagian besar populasi dunia iPhone pengguna yang berisiko.
Para peneliti di Google dan perusahaan keamanan siber iVerify dan Lookout pada hari Rabu bersama terungkap itu penemuan dari teknik peretasan iPhone canggih yang dikenal sebagai DarkSword yang pernah mereka lihat digunakan di situs web yang terinfeksi, yang mampu meretas perangkat iOS secara instan dan diam-diam yang mengunjungi situs tersebut. Meskipun teknik ini tidak memengaruhi versi iOS terbaru dan terbaru, teknik ini berfungsi pada perangkat iOS yang menjalankan versi rilis sistem operasi Apple sebelumnya, iOS 18, yang pada bulan lalu masih mencakup hampir seperempat iPhone. menurut hitungan Apple sendiri.
“Sejumlah besar pengguna iOS bisa saja data pribadinya dicuri hanya karena mengunjungi situs web populer,” kata Rocky Cole, salah satu pendiri dan CEO iVerify. “Ratusan juta orang yang masih menggunakan perangkat Apple lama atau versi sistem operasi lama tetap rentan.”
Kampanye peretasan iPhone yang menggunakan DarkSword terungkap hanya dua minggu setelah terungkapnya kampanye lain yang bahkan lebih canggih dan berfitur lengkap. perangkat peretasan yang dikenal sebagai Coruna ditemukan digunakan oleh apa yang digambarkan Google sebagai kelompok spionase yang disponsori negara Rusia dan kelompok peretas lainnya. Meskipun DarkSword tampaknya dibuat oleh pengembang yang berbeda dari Coruna, para peneliti menemukan bahwa DarkSword digunakan oleh mata-mata Rusia yang sama. Seperti Coruna, virus ini juga tertanam dalam komponen situs resmi Ukraina, termasuk outlet berita online dan situs lembaga pemerintah, untuk mengambil data dari ponsel pengunjung.
Di luar kampanye mata-mata Rusia ini, menurut Google, DarkSword telah terlihat sebelumnya ketika peretas menggunakannya untuk meretas ponsel korban di Arab Saudi, Turki, dan Malaysia. Dalam kasus target Turki dan Malaysia, Google menulis dalam postingan blognya bahwa pelanggan perusahaan keamanan dan pengawasan Turki PARS Defense tampaknya telah menggunakan alat intrusi tersebut. Semua ini menunjukkan bahwa DarkSword telah berkembang biak ke beberapa kelompok peretasan yang berbeda, kata Google, dan kemungkinan besar akan lebih banyak lagi yang mengadopsinya.
Faktanya, salah satu pendiri dan peneliti iVerify, Matthias Frielingsdorf, mencatat bahwa peretas Rusia yang baru-baru ini menggunakan DarkSword dalam kampanye spionase mereka meninggalkan kode DarkSword yang lengkap dan tidak disembunyikan—lengkap dengan komentar penjelasan dalam bahasa Inggris yang menjelaskan setiap komponen dan menyertakan nama “DarkSword” untuk alat tersebut—tersedia di situs tersebut untuk diakses dan digunakan kembali oleh siapa saja. Kecerobohan itu, katanya, praktis mengundang peretas lain untuk menggunakan alat tersebut dan menargetkan pengguna iPhone lainnya. “Siapa pun yang secara manual mengambil semua bagian eksploitasi dapat memasukkannya ke server web mereka sendiri dan mulai menginfeksi ponsel. Sesederhana itu,” kata Frielingsdorf. “Semuanya juga didokumentasikan dengan baik. Ini sangat mudah.”
Seorang juru bicara Apple mengatakan kepada WIRED dalam sebuah pernyataan bahwa “setiap hari tim keamanan Apple di seluruh dunia bekerja tanpa lelah untuk melindungi perangkat dan data pengguna,” dan mencatat bahwa Apple telah merilis pembaruan keamanan yang akan melindungi pengguna dari Coruna dan DarkSword, termasuk pembaruan darurat yang dirilis minggu lalu untuk perangkat lama yang tidak dapat menjalankan iOS 26. “Menjaga perangkat lunak tetap mutakhir tetap menjadi satu-satunya hal terpenting yang dapat dilakukan pengguna untuk menjaga keamanan tinggi perangkat Apple mereka,” bunyi pernyataan itu. Pengguna yang mengaktifkan pengaturan keamanan paling ketat di iOS dikenal sebagai Modus Penguncian juga dilindungi, tambah perusahaan itu.
Google menolak berkomentar di luar postingan blog yang dirilisnya tentang temuan DarkSword-nya. WIRED juga menghubungi PARS Defense melalui akun X-nya tetapi tidak segera menerima tanggapan.
Menurut Lookout, DarkSword dirancang untuk mencuri data dari iPhone rentan yang mencakup kata sandi dan foto; log dari iMessage, WhatsApp, dan Telegram; riwayat peramban; Data Kalender dan Catatan; dan bahkan data dari aplikasi Kesehatan Apple. Meskipun kampanye peretasan memiliki fokus spionase, DarkSword juga mencuri kredensial dompet mata uang kripto pengguna, sehingga menunjukkan bahwa peretas mungkin melakukan bisnis sampingan dalam kejahatan dunia maya yang bertujuan mencari keuntungan.
Daripada menginstal spyware yang tetap ada di ponsel pengguna, DarkSword menggunakan teknik tersembunyi yang lebih sering terlihat pada malware “tanpa file” yang biasanya menargetkan perangkat Windows, membajak proses sah di sistem operasi iPhone untuk mencuri data. “Daripada menggunakan muatan spyware untuk memaksa Anda menembus sistem file—yang menyisakan banyak artefak eksploitasi yang cukup mudah dideteksi—ini hanya menggunakan proses sistem sebagaimana mestinya,” kata Cole dari iVerify. “Dan jejaknya jauh lebih sedikit.”
Teknik tanpa file tersebut juga berarti bahwa infeksi DarkSword tidak bertahan di ponsel setelah di-boot ulang, kata Cole. Sebaliknya, ia mencuri data dari ponsel dalam beberapa menit pertama setelah diretas—yang ia sebut sebagai pendekatan “smash-and-grab”.
Meskipun perangkat peretasan iOS Coruna yang diekspos awal bulan ini berfungsi pada iOS versi 13 hingga 17, DarkSword berfungsi pada sebagian besar versi iOS 18, versi sistem operasi seluler Apple sebelumnya sebelum perusahaan merilis iOS 26 musim gugur lalu. (Faktanya, DarkSword berisi dua “rantai” eksploitasi berbeda yang memanfaatkan kerentanan berbeda di versi iOS 18 sebelumnya dan versi lebih baru, bergantung perangkat mana yang dijalankan.) Artinya, masih banyak ponsel yang berisiko terkena DarkSwords dibandingkan Coruna, terutama mengingat adopsi iOS 26 yang relatif lambat dan tidak populer. dikritik karena fitur baru seperti antarmuka “kaca cair” yang dikeluhkan beberapa pengguna terlalu beranimasi dan mengurangi keterbacaan.
Keduanya apel itu sendiri Dan Penghitung Statyang melacak adopsi sistem operasi, merilis angka bulan lalu yang menunjukkan bahwa hampir seperempat pengguna iPhone tetap menggunakan iOS 18. Untuk memperbarui iPhone Anda, ketuk PengaturanKemudian UmumKemudian Pembaruan Perangkat Lunak. (Dan Anda dapat menemukan langkah-langkah untuk membatasi gelas cair Di Sini.) Baik iVerify dan Lookout mengatakan aplikasi keamanan mereka juga dapat mendeteksi jika ponsel disusupi dengan DarkSword dalam bentuk yang mereka amati.
Siapa yang menciptakan DarkSword masih menjadi misteri. Namun para peneliti yang menemukan perangkat tersebut sepakat bahwa perangkat tersebut hampir pasti tidak dibuat oleh peretas Rusia yang menyebarkannya. Mereka malah mencurigai adanya perusahaan “broker” yang membeli dan menjual teknik hacking. Selain komentar berbahasa Inggris dalam kode DarkSword—mungkin ditulis untuk menjelaskan penggunaannya kepada pelanggan—petunjuk paling jelas tentang asal usulnya adalah hubungannya dengan Coruna: TechCrunch melaporkan minggu lalu Coruna diciptakan oleh Trenchant, anak perusahaan kontraktor pemerintah AS L3Harris yang menciptakan teknik peretasan untuk pemerintah AS. Mantan karyawan Trenchan Peter Williams mengaku bersalah tahun lalu hingga menjual peralatan perusahaan ke perusahaan pialang Rusia bernama Operation Zero, yang sejak itu telah ada disetujui oleh pemerintah AS.
Meskipun tidak ada tanda yang jelas bahwa DarkSword juga dibuat oleh Trenchant atau dibuat untuk digunakan oleh pemerintah AS, penyebarannya oleh peretas Rusia yang kemungkinan besar membeli akses ke Coruna menunjukkan bahwa DarkSword juga mungkin telah dijual oleh Operation Zero atau broker lain dalam teknik peretasan. (Operation Zero tidak menanggapi permintaan komentar WIRED.) Selain mata-mata Rusia yang menggunakannya, Coruna juga kemudian digunakan oleh penjahat dunia maya untuk mencuri mata uang kripto dari korban yang berbahasa Mandarin, penggunaan perangkat peretasan iPhone yang bahkan lebih sembrono—dan kemungkinan tanda bahwa Operasi Zero akan menjual kembali penawarannya kepada kelompok peretas mana pun yang bersedia membayar.
Kemunculan dua teknik peretasan iPhone yang berbeda dan kuat secara berturut-turut, kemungkinan keduanya dijual oleh perusahaan pialang dengan sedikit kebijaksanaan, menunjukkan semakin aktifnya pasar untuk penjualan kembali eksploitasi yang dulunya dianggap sangat langka dan hanya digunakan untuk serangan yang sangat bertarget terhadap korban individu.
“Orang-orang berasumsi bahwa yang menjadi sasaran hanyalah jurnalis, aktivis, atau mungkin politisi oposisi, dan hal ini bukanlah kekhawatiran warga negara pada umumnya,” kata Justin Albrecht, yang memimpin intelijen ancaman seluler di Lookout. “Sekarang kita melihat eksploitasi iOS dikirimkan melalui broker yang tidak bermoral, ada pasar yang besar di sini untuk menjangkau penjahat dunia maya” yang akan menggunakannya dengan lebih tidak hati-hati.
Cole dari iVerify berargumentasi bahwa fakta bahwa DarkSword digunakan dengan sangat berani, tanpa ada upaya nyata untuk mencegah penemuannya di situs tempat ia tertanam, juga menunjukkan bahwa teknik peretasan iOS kini cukup dapat dicapai di pasar gelap tersebut sehingga peretas bersedia menggunakannya tanpa pandang bulu—bahkan jika hasilnya adalah keterpaparan mereka.
“Jika yang ini terbakar, saya akan ambil yang lain,” kata Cole, menggambarkan pemikiran para peretas. “Mereka tahu masih banyak lagi asal mula hal ini.”
Diperbarui pada 10:30 ET, 18 Maret 2026: Menambahkan informasi tambahan yang dirilis oleh Google.
Diperbarui pada 12:22 ET, 18 Maret 2026: Menambahkan pernyataan dari Apple.
