فريق استخبارات التهديدات في غوغل نشر بحثاً يوضح بالتفصيل إطار استغلال متقدماً لنظام iOS يُدعى Coruna يضم 23 ثغرة ضمن خمس سلاسل استغلال كاملة، استُخدم من قِبل عناصر يُشتبه في انتمائهم إلى عمليات تجسس روسية وإلى محتالي عملات مشفّرة صينيين طوال عام 2025.
شركة أمن الأجهزة المحمولة iVerify توصّلت بشكل منفصل إلى أن الشيفرة concluded تحمل بصمات أدوات طُوّرت من قِبل حكومة الولايات المتحدة، ووصفتها بأنها أول حالة معروفة لقدرات iOS على مستوى الدول تُعاد توظيفها لاستخدام إجرامي واسع النطاق.
جميع الثغرات التي استغلها Coruna جرى تصحيحها في إصدارات iOS الحالية. وتبقى الأجهزة التي تعمل بإصدار iOS 17.2.1 وما قبله، والصادرة حتى ديسمبر 2023، ضمن النطاق المتأثر.
ما الذي حدث
غوغل قامت tracked بتتبّع Coruna عبر ثلاثة مشغّلين متميزين خلال 2025. ظهر الإطار أولاً في فبراير ضمن سلسلة استغلال استخدمها زبون يتعامل مع مزوّد تجاري غير مُسمّى لخدمات المراقبة.
بحلول الصيف، ظهر إطار JavaScript المماثل كإطارات مخفية على مواقع أوكرانية مخترقة، يستهدف مستخدمي آيفون بشكل انتقائي عبر تحديد الموقع الجغرافي، ونُسب ذلك إلى مجموعة UNC6353، وهي مجموعة تجسس روسية مشتبه بها. وبنهاية 2025، كان قد تم نشر المجموعة الكاملة عبر مئات المواقع المزيّفة باللغة الصينية المتخصصة في العملات المشفّرة والمقامرة، ما أدّى إلى اختراق ما يُقدَّر بنحو 42,000 جهاز في حملة واحدة.
تعمل المجموعة كهجوم مرور عابر (drive-by): لا حاجة للنقر. فمجرد زيارة الهدف لموقع مخترق تؤدي إلى تشغيل شيفرة JavaScript صامتة تقوم ببصمة الجهاز ثم تُسلم سلسلة استغلال مخصّصة. الحمولة المعدّلة لأغراض إجرامية تبحث عن عبارات البذور BIP39، وتجمع بيانات MetaMask و Trust Wallet، وتسرّب بيانات الاعتماد إلى خوادم القيادة والسيطرة.
اقرأ أيضاً: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
لماذا يهم الأمر
قال روكي كول، الشريك المؤسِّس في iVerify والمحلل السابق في وكالة الأمن القومي الأميركية (NSA)، إن قاعدة شيفرة Coruna "متقنة للغاية" وتشترك في بصمات هندسية مع وحدات تم ربطها علناً سابقاً ببرامج حكومية أميركية، بما في ذلك مكوّنات من Operation Triangulation، وهي حملة استهداف لنظام iOS في عام 2023 نسبتْها روسيا رسمياً إلى وكالة الأمن القومي الأميركية. ولم تعلّق واشنطن مطلقاً على ذلك الادعاء.
وصف كول described الوضع بأنه يشبه لحظة "EternalBlue" محتملة، في إشارة إلى ثغرة Windows التي طورتها وكالة الأمن القومي وسُرقت عام 2017، والتي أتاحت لاحقاً هجماتي WannaCry وNotPetya.
أشارت غوغل إلى وجود "سوق يد ثانية" نشط لإطارات استغلال الثغرات صفرية اليوم، حيث يعزّز مسار Coruna الفكرةَ القائلة إن الأدوات ذات المستوى الحكومي تنتقل عبر الوسطاء إلى البنى التحتية الإجرامية دون نقطة تسليم واضحة.
لم ترد وكالة الأمن القومي على طلبات التعليق. أما شركة آبل فقد أصدرت ترقيعات تغطي جميع الثغرات المعروفة المرتبطة بـ Coruna.
اقرأ التالي: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act