Googles Threat Intelligence Group veröffentlichte Forschungsergebnisse zu einem hochentwickelten iOS-Exploit-Framework namens Coruna – mit 23 Schwachstellen in fünf vollständigen Exploit-Ketten –, das im Laufe des Jahres 2025 von mutmaßlichen russischen Spionageakteuren und chinesischen Kryptowährungsbetrügern eingesetzt wurde.
Das Mobile-Security-Unternehmen iVerify kam separat zu dem Schluss, dass der Code typische Merkmale von in den USA entwickelten Regierungswerkzeugen trägt und bezeichnete es als den ersten bekannten Fall, in dem mutmaßlich staatliche iOS-Fähigkeiten für massenhafte kriminelle Nutzung umfunktioniert wurden.
Alle von Coruna ausgenutzten Schwachstellen wurden in aktuellen iOS-Versionen behoben. Geräte mit iOS 17.2.1 und älter, die bis Dezember 2023 veröffentlicht wurden, bleiben im betroffenen Bereich.
Was passiert ist
Google hat Coruna im Laufe des Jahres 2025 bei drei unterschiedlichen Operatoren nachverfolgt. Erstmals tauchte es im Februar in einer Exploit-Kette auf, die von einem Kunden eines nicht genannten kommerziellen Überwachungsanbieters genutzt wurde.
Bis zum Sommer erschien das identische JavaScript-Framework als versteckte Iframes auf kompromittierten ukrainischen Websites und zielte mithilfe von Geolokalisierung selektiv auf iPhone-Nutzer – zugeschrieben UNC6353, einer mutmaßlichen russischen Spionagegruppe. Ende 2025 war das komplette Toolkit dann auf Hunderten gefälschten chinesischsprachigen Kryptowährungs- und Glücksspielseiten im Einsatz und kompromittierte in nur einer Kampagne schätzungsweise 42.000 Geräte.
Das Kit funktioniert als Drive-by-Angriff: Kein Klick erforderlich. Ein Ziel, das eine kompromittierte Seite besucht, löst unauffälliges JavaScript aus, das das Gerät fingerabdruckt und eine maßgeschneiderte Exploit-Kette ausliefert. Die für Kriminelle angepasste Payload durchsucht das Gerät nach BIP39-Seed-Phrasen, sammelt Daten aus MetaMask und Trust Wallet und exfiltriert Zugangsdaten an Command-and-Control-Server.
Lesen Sie auch: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Warum das wichtig ist
iVerify-Mitgründer Rocky Cole – ein ehemaliger NSA-Analyst – sagte, der Coruna-Code sei „hervorragend“ und weise technische Fingerabdrücke auf, die mit Modulen übereinstimmen, die zuvor öffentlich mit US-Regierungsprogrammen in Verbindung gebracht wurden, darunter Komponenten von Operation Triangulation, einer iOS-Kampagne aus dem Jahr 2023, die Russland offiziell der NSA zuschrieb. Washington hat sich zu diesem Vorwurf nie geäußert.
Cole beschrieb die Situation als möglichen „EternalBlue-Moment“ – in Anspielung auf den von der NSA entwickelten Windows-Exploit, der 2017 gestohlen wurde und später die WannaCry- und NotPetya-Angriffe ermöglichte.
Google verwies auf einen aktiven „Zweitmarkt“ für Zero-Day-Exploit-Frameworks. Die Spur von Coruna zeige, wie Werkzeuge auf Staatsniveau über Vermittler in kriminelle Infrastrukturen abwandern, ohne dass es einen klaren Übergabepunkt gibt.
Die NSA reagierte nicht auf Anfragen nach einer Stellungnahme. Apple hat Patches für alle bekannten Coruna-Schwachstellen veröffentlicht.
Als Nächstes lesen: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act