Googles Threat Intelligence Group hat Forschungsergebnisse zu einem ausgeklügelten iOS-Exploit-Framework namens Coruna veröffentlicht – mit 23 Schwachstellen in fünf vollständigen Exploit-Chains –, das im Jahr 2025 von mutmaßlichen russischen Spionageakteuren und chinesischen Kryptowährungsbetrügern eingesetzt wurde.
Das Mobile-Sicherheitsunternehmen iVerify ist unabhängig davon zu dem Schluss gekommen, dass der Code typische Merkmale von in den USA entwickelten Regierungswerkzeugen trägt, und bezeichnete ihn als den ersten bekannten Fall, in dem mutmaßliche iOS-Fähigkeiten eines Nationalstaats in großem Umfang für kriminelle Zwecke zweckentfremdet wurden.
Alle von Coruna ausgenutzten Schwachstellen wurden in aktuellen iOS-Versionen behoben. Geräte mit iOS 17.2.1 und älter, die bis Dezember 2023 veröffentlicht wurden, bleiben im betroffenen Bereich.
Was passiert ist
Google hat Coruna im Jahr 2025 bei drei unterschiedlichen Operatoren nachverfolgt. Es tauchte erstmals im Februar in einer Exploit-Chain auf, die von einem Kunden eines nicht genannten kommerziellen Überwachungsanbieters genutzt wurde.
Bis zum Sommer erschien das identische JavaScript-Framework als versteckte iFrames auf kompromittierten ukrainischen Websites und zielte – basierend auf Geolokalisierung – selektiv auf iPhone-Nutzer ab; zugeschrieben wurde dies UNC6353, einer mutmaßlichen russischen Spionagegruppe. Ende 2025 war das vollständige Toolkit dann auf Hunderten gefälschter chinesischsprachiger Kryptowährungs- und Glücksspielseiten im Einsatz und kompromittierte in einer einzigen Kampagne schätzungsweise 42.000 Geräte.
Das Kit funktioniert als Drive-by-Angriff: Kein Klick erforderlich. Schon der Besuch einer kompromittierten Website löst stilles JavaScript aus, das das Gerät fingerprintet und eine maßgeschneiderte Exploit-Chain ausliefert. Die kriminell angepasste Payload scannt nach BIP39-Seed-Phrasen, sammelt Daten aus MetaMask und Trust Wallet und exfiltriert Zugangsdaten an Command-and-Control-Server.
Lesen Sie auch: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Warum das wichtig ist
iVerify-Mitgründer Rocky Cole – ein ehemaliger NSA-Analyst – bezeichnete den Coruna-Code als „hervorragend“ und sagte, er weise dieselben technischen Fingerabdrücke auf wie Module, die zuvor öffentlich mit US-Regierungsprogrammen in Verbindung gebracht wurden, darunter Komponenten von Operation Triangulation, einer iOS-Kampagne von 2023, die Russland offiziell der NSA zuschrieb. Washington hat sich zu diesem Vorwurf nie geäußert.
Cole beschrieb die Situation als mögliches „EternalBlue-Moment“ – in Anspielung auf den von der NSA entwickelten Windows-Exploit, der 2017 gestohlen wurde und später die WannaCry- und NotPetya-Angriffe ermöglichte.
Google verwies auf einen aktiven „Second-Hand-Markt“ für Zero-Day-Exploit-Frameworks. Die Spur von Coruna zeige, wie Werkzeuge auf Staatsniveau über Broker in kriminelle Infrastrukturen abwandern, ohne dass es einen klaren Übergabepunkt gibt.
Die NSA reagierte nicht auf Anfragen nach einer Stellungnahme. Apple hat Patches veröffentlicht, die alle bekannten Coruna-Schwachstellen abdecken.
Als Nächstes lesen: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act