Terungkap! Perjalanan Gelap "Senjata Rahasia Pemerintah AS" yang Kini Memburu iPhone di Pasar Gelap — 42.000 Perangkat Sudah Jadi Korban dan Pelakunya Ada di Rusia, China, Bahkan Mantan Kontraktor Pentagon Sendiri! (Investigasi Mendalam Forto.id)

Halo, warga Surabaya dan seluruh pengguna iPhone di Indonesia! Bersama saya, Septa, teknisi dan konsultan gadget di Forto.id. Beberapa hari yang lalu, kita sudah membahas kemunculan exploit kit bernama Coruna yang mengancam iPhone dengan iOS lawas. Tapi seiring berjalannya waktu, laporan-laporan baru terus berdatangan — dan semakin dalam kita menggali cerita ini, semakin mencengangkan yang kita temukan.

Ini bukan lagi sekadar cerita tentang malware canggih yang menyerang iPhone. Ini adalah kisah tentang bagaimana sebuah senjata siber rahasia milik pemerintah — yang dikembangkan dengan biaya jutaan dolar — bisa lepas kendali, berganti tangan di pasar gelap, dan akhirnya berakhir di tangan kelompok kriminal yang menggunakannya untuk mencuri aset kripto dari puluhan ribu orang tidak bersalah di seluruh dunia.

Dan yang paling mengejutkan? Salah satu orang yang diduga bertanggung jawab atas kebocoran ini baru saja divonis tujuh tahun penjara — bukan hacker anonim dari negara musuh, tapi mantan eksekutif perusahaan kontraktor pertahanan Amerika Serikat sendiri.

Duduk dulu, karena cerita ini panjang dan kompleks. Tapi percayalah — setiap detailnya penting untuk kamu ketahui.

Sekilas Recap: Apa Itu Coruna?

Bagi yang baru bergabung, izinkan sedikit konteks. Coruna — juga dikenal dengan nama lain CryptoWaters — adalah sebuah exploit kit iOS yang sangat canggih, pertama kali terdeteksi oleh Google Threat Intelligence Group (GTIG) pada Februari 2025. Ia bekerja dengan mengeksploitasi 23 celah keamanan berbeda melalui 5 rantai serangan yang menarget iPhone yang menjalankan iOS 13 hingga iOS 17.2.1.

Cara kerjanya? Cukup dengan mengunjungi sebuah website berbahaya. Tidak ada aplikasi yang perlu diunduh, tidak ada file yang perlu dibuka. Hanya dengan membuka halaman web yang sudah terinfeksi, Coruna secara senyap menembus lapisan keamanan iPhone, mengambil alih kendali, dan menginstal malware yang kemudian bekerja di latar belakang tanpa sepengetahuan korban.

Apple sudah menambal semua celah ini di iOS versi lebih baru. Tapi pertanyaan yang sesungguhnya bukan soal teknisnya — tapi soal dari mana alat sepowerful ini berasal, bagaimana bisa jatuh ke tangan yang salah, dan berapa banyak korban yang sudah berjatuhan.

42.000 iPhone Sudah Diretas — Ini Bukan Estimasi, Ini Data Nyata

Mari kita mulai dari angka yang paling bikin bulu kuduk berdiri. iVerify, perusahaan keamanan mobile yang melakukan reverse-engineering terhadap Coruna, mengungkapkan sebuah fakta yang sangat konkret: setidaknya 42.000 perangkat iPhone sudah berhasil diretas menggunakan satu varian spesifik Coruna dalam sebuah kampanye serangan berbahasa China.

Empat puluh dua ribu. Bukan estimasi kasar. Bukan hitungan spekulatif. Ini adalah angka yang diturunkan dari analisis forensik terhadap infrastruktur serangan yang berhasil dipetakan oleh peneliti iVerify.

Dan angka 42.000 itu hanya dari satu varian Coruna dalam satu kampanye serangan yang berhasil terdeteksi. Di luar itu, masih ada kampanye serangan oleh kelompok spionase Rusia terhadap target di Ukraina yang jumlah korbannya belum sepenuhnya terkuantifikasi. Belum lagi kemungkinan adanya kampanye-kampanye lain yang belum terdeteksi sama sekali.

Rocky Cole, co-founder iVerify, menyebut ini sebagai "momen EternalBlue" — mengacu pada insiden 2017 ketika alat peretasan milik NSA bocor ke publik dan akhirnya digunakan dalam serangan ransomware WannaCry yang menginfeksi lebih dari 200.000 komputer di 150 negara dalam hitungan jam.

Dengan kata lain: para peneliti keamanan terbaik dunia menyamakan skala ancaman Coruna dengan salah satu serangan siber paling dahsyat dalam sejarah modern. Itu bukan perbandingan yang diambil sembarangan.

Perjalanan Gelap Sebuah Senjata: Dari Washington ke Pasar Gelap Dunia

Sekarang kita masuk ke bagian yang benar-benar membuat artikel ini berbeda dari laporan keamanan siber biasa. Ini adalah kisah tentang bagaimana sebuah alat yang dikembangkan untuk melindungi kepentingan nasional sebuah negara adidaya bisa berakhir di tangan penjahat kriminal biasa yang motivasinya tidak lebih dari mencuri uang.

Babak Pertama: Lahir di Tangan Pembuat Kode Berbahasa Inggris

Ketika tim Google GTIG melakukan analisis mendalam terhadap kode Coruna, mereka menemukan sebuah petunjuk yang sangat signifikan: seluruh kode, dokumentasi internal, dan nama-nama teknis dalam exploit kit ini ditulis dalam bahasa Inggris dengan tingkat keahlian yang sangat tinggi.

Bukan bahasa Inggris yang patah-patah seperti yang sering terlihat dalam malware buatan kelompok kriminal internasional. Tapi bahasa Inggris yang native, profesional, dan mencerminkan tingkat keahlian teknis yang hanya bisa dimiliki oleh programmer-programmer terbaik yang terlatih secara formal di lingkungan yang sangat terstruktur.

Lebih jauh lagi, beberapa komponen dalam Coruna — khususnya dua eksploit yang diberi nama sandi "Photon" dan "Gallium" — ternyata identik dengan celah keamanan yang sebelumnya digunakan dalam Operasi Triangulation, sebuah kampanye spionase siber yang pada 2023 dituduh oleh pemerintah Rusia sebagai operasi yang dijalankan oleh National Security Agency (NSA) Amerika Serikat.

Benang merah ini yang membuat Rocky Cole dari iVerify berani menyatakan kesimpulan yang mengejutkan: Coruna, atau setidaknya fondasi teknisnya, sangat mungkin dikembangkan oleh atau untuk pemerintah Amerika Serikat. Biaya pengembangannya? Diperkirakan mencapai jutaan dolar — anggaran yang jauh di luar jangkauan kelompok hacker kriminal biasa, tapi sangat wajar untuk sebuah program siber yang disponsori negara.

Untuk memberi konteks: nama-nama kode dalam Coruna semuanya berbahasa Inggris. CVE-2024-23222, sebuah bug di WebKit, diberi nama "Cassowary." CVE-2020-27932, sebuah kerentanan di kernel iOS, disebut "Neutron." Ini adalah konvensi penamaan yang mencerminkan budaya kerja tim pengembang berbahasa Inggris yang sangat terorganisir — bukan tim asal-asalan.

Babak Kedua: Bocor, Dijual, Berganti Tangan

Pertanyaan terbesar yang belum terjawab hingga hari ini: bagaimana persisnya Coruna bisa lepas dari kendali pembuatnya?

Google sendiri mengakui bahwa mekanisme kebocoran ini tidak sepenuhnya jelas. Tapi berdasarkan pola yang terlihat dari perjalanan Coruna di lapangan, gambaran yang paling masuk akal adalah sebagai berikut:

Pada titik tertentu, alat ini bocor atau dicuri dari tangan pemilik aslinya. Kemudian masuk ke dalam jaringan broker zero-day — individu atau kelompok yang berspesialisasi dalam membeli dan menjual celah keamanan dan exploit kit kepada siapapun yang mau membayar, tanpa terlalu mempertanyakan tujuan penggunaannya. Harga di pasar gelap untuk exploit iOS sekelas Coruna? Bisa mencapai jutaan dolar.

Pembeli pertama kemungkinan mencoba menutup biaya investasinya dengan menjual kembali versi yang sudah dimodifikasi ke pihak lain. Dan begitu seterusnya — siklus jual-beli yang membuat Coruna terus bermutasi, tersebar, dan akhirnya berakhir di tangan kelompok-kelompok yang tujuannya sudah sangat berbeda dari niat awal pembuatnya.

Google menyebut fenomena ini secara eksplisit sebagai tanda adanya "pasar aktif untuk eksploit 'bekas pakai'" — sebuah ekosistem bawah tanah yang memungkinkan alat-alat peretasan canggih bermigrasi dari satu aktor ke aktor lain dengan relatif mudah.

Babak Ketiga: Rusia Menggunakannya untuk Spionase di Ukraina

Berdasarkan rekonstruksi timeline yang dilakukan oleh Google dan iVerify, pengguna pertama yang berhasil diidentifikasi menggunakan Coruna secara aktif adalah kelompok spionase yang terkait dengan intelijen Rusia.

Dalam kampanye ini, Coruna digunakan untuk menarget warga Ukraina — kemungkinan besar target bernilai tinggi seperti pejabat pemerintah, militer, atau individu yang dianggap strategis dalam konteks konflik yang sedang berlangsung. Ini adalah penggunaan yang paling "klasik" untuk alat semacam ini: spionase tingkat negara yang ditujukan untuk pengumpulan intelijen.

Babak Keempat: China Menggunakannya untuk Mencuri Kripto

Dari tangan agen intelijen Rusia, Coruna kemudian berpindah — entah melalui kebocoran lagi, jual beli, atau cara lain — ke tangan sebuah kelompok kejahatan siber berbasis di China yang motivasinya jauh lebih duniawi: uang.

Kelompok ini menggunakan versi Coruna yang sudah mereka modifikasi — dengan menambahkan lapisan malware yang lebih sederhana di atas fondasi exploit aslinya — untuk melancarkan kampanye pencurian massal terhadap pengguna berbahasa China. Target spesifiknya adalah aset kripto: data dompet digital, seed phrase (kata kunci pemulihan), dan kredensial akun dari berbagai platform seperti Exodus, MetaMask, Bitget Wallet, dan Base.

Malware yang diinstal Coruna dalam kampanye ini diberi nama PlasmaLoader (alias PLASMAGRID) oleh para peneliti — sebuah program yang bekerja secara tersembunyi di iPhone korban, membaca kode QR dari gambar tersimpan di perangkat, dan mengirim seluruh data yang berhasil dikumpulkan ke server eksternal yang dikendalikan oleh para penyerang.

Hasilnya adalah 42.000 iPhone yang berhasil dikompromikan — dengan kerugian finansial yang belum sepenuhnya dapat dikuantifikasi, tapi mengingat target utamanya adalah aset kripto, bisa dipastikan nilainya sangat signifikan.

Kontraktor Pentagon yang Menjual Senjata Sendiri: Kasus Peter Williams

Di sinilah cerita ini mencapai titik paling ironis dan paling mengejutkan. Untuk memahami bagaimana alat sekelas Coruna bisa bocor dari lingkaran yang seharusnya sangat tertutup, kita perlu mengenal Peter Williams.

Williams adalah mantan kepala eksekutif L3Harris Trenchant — sebuah divisi dari perusahaan kontraktor pertahanan raksasa Amerika Serikat, L3Harris Technologies. Dalam kapasitas itu, Williams memiliki akses ke alat-alat peretasan paling canggih yang dikembangkan untuk keperluan intelijen dan pertahanan Amerika.

Tapi antara 2022 dan 2025, Williams melakukan sesuatu yang sangat mengkhianati kepercayaan yang diberikan kepadanya: ia diam-diam menjual delapan exploit kit — termasuk alat yang diklaim mampu meretas "jutaan komputer dan perangkat di seluruh dunia" — kepada seorang broker zero-day yang diketahui memiliki hubungan dengan pemerintah Rusia.

Setidaknya satu exploit juga dijual ke broker di Korea Selatan.

Apakah exploit yang dijual Williams itu langsung terhubung dengan Coruna? Investigasi masih berlangsung dan tidak ada konfirmasi eksplisit soal ini. Tapi kasusnya memberikan gambaran yang sangat konkret tentang mekanisme nyata bagaimana senjata siber kelas pemerintah bisa bocor ke pasar gelap: bukan selalu melalui peretasan dari luar, tapi kadang melalui pengkhianatan dari dalam oleh orang yang dipercaya.

Pengadilan Amerika Serikat menjatuhkan vonis kepada Williams: lebih dari tujuh tahun penjara. Sebuah hukuman yang berat, tapi mungkin tidak sebanding dengan skala kerusakan yang ditimbulkan oleh aksinya.

Kontroversi: Apakah Ini Benar-Benar Buatan Pemerintah AS?

Tidak semua pihak sepakat dengan kesimpulan iVerify. Dan jujur saja, keberimbangan dalam meliput cerita ini mengharuskan kita membahas perspektif yang berbeda.

Kaspersky, perusahaan keamanan siber asal Rusia yang justru adalah pihak pertama yang mengungkap Operasi Triangulation pada 2023, memberikan tanggapan yang berbeda setelah laporan iVerify dan Google dipublikasikan. Boris Larin, peneliti keamanan senior di Kaspersky GReAT, secara tegas menyatakan kepada The Register: tidak ada bukti adanya penggunaan kode yang sama (code reuse) antara Coruna dan alat-alat yang sebelumnya diatribusikan ke pemerintah AS.

Menurutnya, kesamaan dalam penggunaan beberapa CVE yang sama — seperti Photon dan Gallium — tidak serta merta membuktikan asal-usul yang sama. Celah keamanan yang sama bisa ditemukan dan dieksploitasi secara independen oleh berbagai kelompok yang tidak saling berhubungan.

Rocky Cole dari iVerify sendiri mengakui ketidakpastian ini. Dalam sebuah webinar, ia menyatakan bahwa ini adalah "a good bet, though certainly not a sure bet" — sebuah dugaan yang kuat, tapi bukan kepastian. Dan iVerify pun tidak menghubungi NSA atau US Cyber Command untuk konfirmasi — karena seperti yang Cole katakan, "mereka tidak akan mengatakan apapun juga."

Ketidakpastian ini penting untuk dicatat. Tapi terlepas dari siapa pembuat aslinya, satu hal yang tidak bisa diperdebatkan adalah realita di lapangan: Coruna nyata, dampaknya nyata, dan 42.000 iPhone yang sudah diretas adalah fakta yang tidak bisa dibantah.

EternalBlue 2.0: Kenapa Kita Harus Sangat Serius Mengambil Pelajaran Ini

Untuk memahami betapa seriusnya situasi ini dalam perspektif historis, Rocky Cole menggunakan analogi yang sangat tepat: EternalBlue.

Pada 2017, sekelompok peretas yang menyebut diri mereka Shadow Brokers membocorkan sekumpulan alat peretasan yang dikembangkan oleh NSA — termasuk sebuah exploit Windows yang diberi nama EternalBlue. Dalam hitungan minggu setelah kebocoran itu, alat tersebut digunakan oleh Korea Utara untuk melancarkan serangan ransomware WannaCry yang menginfeksi lebih dari 200.000 komputer di 150 negara. Rumah sakit, perusahaan multinasional, lembaga pemerintah — semua lumpuh. Kerugiannya diperkirakan mencapai miliaran dolar.

Lalu menyusul NotPetya — serangan siber yang menggunakan EternalBlue sebagai salah satu vektornya, diduga dilancarkan oleh kelompok yang terkait dengan militer Rusia. NotPetya menyebabkan kerugian yang oleh beberapa perkiraan mencapai $10 miliar secara global, dan hingga hari ini masih menjadi salah satu serangan siber paling merusak yang pernah terjadi.

Itulah yang terjadi ketika satu alat peretasan tingkat pemerintah lepas kendali. Dan Coruna, menurut para peneliti, berpotensi menjadi EternalBlue versi mobile — dengan target yang jauh lebih personal: smartphone yang kamu bawa ke mana-mana, yang menyimpan foto, pesan, kata sandi, data perbankan, dan aset kripto kamu.

Update Penting: 74% iPhone Eligible Sudah Aman — Bagaimana dengan Punyamu?

Ada kabar baik yang perlu disebutkan dengan jelas. Per 12 Februari 2026, data menunjukkan bahwa 74% dari iPhone yang mampu menjalankan iOS 26 sudah berhasil diupdate ke versi tersebut.

Ini angka yang menggembirakan — tapi artinya masih ada 26% yang belum. Dan bagi iPhone yang terlalu lama untuk mendapat iOS 26, situasinya lebih pelik: mereka tidak akan pernah menerima tambalan untuk celah-celah yang dieksploitasi Coruna.

Coruna dirancang khusus untuk iOS 13 hingga 17.2.1. Artinya, jika iPhone kamu bisa menjalankan iOS 18 ke atas, update saja — kamu sudah terlindungi. Tapi jika iPhone kamu sudah terlalu tua untuk mendapat update iOS terbaru, kamu perlu mempertimbangkan dengan serius apakah aman untuk terus menggunakan perangkat tersebut untuk aktivitas yang melibatkan data sensitif.

Apa yang Harus Kamu Lakukan Sekarang Juga

Berdasarkan semua yang sudah kita bahas, inilah daftar tindakan konkret yang harus kamu ambil:

Cek versi iOS kamu sekarang. Buka Settings → General → About → Software Version. Jika masih di bawah iOS 18, kamu rentan terhadap Coruna. Update segera.

Aktifkan auto-update. Settings → General → Software Update → Automatic Updates. Pastikan keduanya (iOS Updates dan Security Responses) aktif. Jangan biarkan dirimu tertinggal update keamanan kritis hanya karena lupa.

Jangan klik link mencurigakan. Coruna menyebar melalui website berbahaya. Link yang dikirim via WhatsApp, Telegram, atau media sosial yang menawarkan investasi kripto, hadiah, atau "informasi eksklusif" adalah kandidat terdepan untuk dihindari.

Pertimbangkan Lockdown Mode jika kamu punya risiko tinggi. Jika kamu adalah eksekutif, profesional yang menangani data sensitif, atau memiliki aset kripto bernilai besar — Lockdown Mode adalah proteksi yang terbukti membuat Coruna mundur.

Jika iPhone kamu terlalu tua untuk diupdate, pikirkan serius soal penggunaan perangkat baru. Atau setidaknya, batasi penggunaan iPhone lama itu hanya untuk aktivitas yang tidak melibatkan data sensitif.

Dari Sudut Pandang Teknisi: Tanda-Tanda iPhone yang Mungkin Sudah Terinfeksi

Sebagai teknisi yang setiap hari menangani berbagai kondisi iPhone di service HP Surabaya kami, ada beberapa gejala yang bisa menjadi indikasi bahwa ada proses mencurigakan berjalan di latar belakang perangkatmu:

Baterai yang tiba-tiba terkuras jauh lebih cepat dari biasanya — malware yang aktif mengumpulkan dan mengirimkan data membutuhkan daya yang signifikan, dan ini sering kali tercermin dalam penurunan daya tahan baterai yang drastis.

iPhone terasa panas meski tidak sedang digunakan secara intensif — proses background yang tidak sah bisa membuat prosesor bekerja keras secara diam-diam, menghasilkan panas yang tidak normal.

Konsumsi data seluler yang melonjak tanpa alasan jelas — malware seperti PlasmaLoader mengirimkan data yang dikumpulkan ke server eksternal, dan ini membutuhkan bandwidth yang tidak sedikit.

Performa yang tiba-tiba melambat tanpa ada update besar yang baru saja diinstal — beban kerja dari proses berbahaya bisa memengaruhi performa keseluruhan perangkat.

Jika kamu mengalami satu atau lebih gejala di atas, terutama kombinasi dari keduanya, sangat disarankan untuk membawa iPhone kamu ke teknisi terpercaya untuk pemeriksaan menyeluruh. Ini bukan soal paranoia — tapi soal prudence yang sangat masuk akal mengingat besarnya ancaman yang sedang kita bicarakan.

Kesimpulan: Dunia Senjata Siber Tidak Pernah Benar-Benar Aman dari Dirinya Sendiri

Kisah Coruna adalah cermin dari sebuah paradoks yang sangat mengganggu di era modern: alat-alat yang diciptakan untuk keamanan bisa menjadi ancaman terbesar bagi keamanan itu sendiri.

Pemerintah-pemerintah di seluruh dunia menginvestasikan miliaran dolar untuk mengembangkan senjata siber yang canggih — dengan asumsi bahwa senjata-senjata itu bisa dikendalikan, diarahkan dengan tepat, dan tidak akan pernah jatuh ke tangan yang salah. Coruna membuktikan bahwa asumsi itu sangat rapuh.

Dari laboratorium pengembangan yang penuh kerahasiaan, ke tangan broker zero-day yang tidak peduli dengan moralitas, ke operasi spionase lintas negara, hingga akhirnya ke kampanye pencurian kripto yang menyasar puluhan ribu orang biasa — ini adalah perjalanan yang tidak ada yang merencanakan, tapi semua orang yang mengembangkan senjata siber seharusnya sudah memprediksi.

Bagi kamu sebagai pengguna iPhone: ancaman ini nyata, tapi proteksinya jelas. Update iOS adalah perisai pertama dan paling efektif. Dan untuk memastikan iPhone kamu selalu dalam kondisi optimal untuk menerima update-update penting itu tanpa hambatan apapun, Forto.id siap membantu.

Sebagai pusat service apple dan service iPhone terpercaya di Surabaya, dengan teknisi yang memahami seluk-beluk perangkat Apple dari generasi ke generasi, kami memastikan iPhone kamu tidak hanya berfungsi — tapi berfungsi secara optimal, aman, dan siap menghadapi ancaman digital yang makin kompleks setiap harinya.

Jangan tunggu sampai 42.001. Kunjungi Forto.id sekarang, periksa kondisi iPhone kamu, dan pastikan perangkatmu siap menghadapi era keamanan siber yang semakin tidak bisa diprediksi. 🔐📱

Kami spesialis di bidang perbaikan kerusakan Smartphone : Oppo, Vivo, Realme, Xiaomi, Google Pixel, Apple, iPhone, iPad , MacBook, iWacth, Airpod, Infinix, Samsung, HTC, One-Plus, TCL, Huawei, Honor, Lenovo, Motorola, Sony.

Keuntungan Service di Forto Premium Gadget Repair Service Surabaya :

• Mendengarkan dan memahami terlebih dahulu keluhan calon customer dengan detail.

• Konsultasi dan Check-Up kerusakan secara gratis.

• Pengerjaan yang transparan dan dapat dilihat langsung dalam proses pengerjaan

• Pengerjaan yang relatif cepat dan bisa ditunggu dalam 15 menit – 2 jam pengerjaan.

• Melakukan proses pengerjaan berdasarkan Analisa dan Observasi sesuai dengan SOP yang berlaku di Forto.id.

• Harga kompetitif dengan hasil yang maksimal dan bergaransi Panjang (1 – 6 Bulan Garansi)

Untuk menjamin kepuasan pelanggan akan layanan service perbaikan Smartphone : Oppo, Vivo, Realme, Xiaomi, Google Pixel, Apple,iphone,iPad,MacBook,iWacth,Airpod, Infinix, Samsung, HTC, One-Plus, TCL, Huawei, Honor, Lenovo, Motorola, Sony Anda miliki langsung ditangani sendiri oleh teknisi berpengalaman dan profesional. Segala komponen dan peralatan yang memadai didukung ketersediaan sparepart yang original dan kami hanya membutuhkan waktu 1 jam termasuk menguji perangkat Apple Anda dengan Komponen baru setelah proses perbaikan Anda tidak perlu menunggu lama anda juga bisa melihat langsung proses pengerjaannya.

Kunjungi Outlet Spare Part dan Service produk Apple kami di Jl. Raya Manyar No.57

Ingin berkonsultasi masalah Gadget anda? Silahkan hubungi kami di kontak berikut:

• Whatsapp : 0853-8555-7757

• Instagram : @forto_id

• TikTok : @forto_id

• Youtube : @forto_id

• Google Bisnis : Forto Premium Gadget Repair Service

• HomePage : Forto.id