Le Threat Intelligence Group de Google a publié des recherches détaillant un cadre d’exploitation iOS sophistiqué appelé Coruna – contenant 23 vulnérabilités réparties sur cinq chaînes d’exploits complètes – utilisé en 2025 par des opérateurs soupçonnés d’espionnage russe et par des escrocs chinois spécialisés dans les cryptomonnaies.
La société de sécurité mobile iVerify a, de son côté, conclu que la base de code porte les marques d’outils développés par le gouvernement américain, la décrivant comme le premier cas connu de capacités iOS probablement étatiques réutilisées à grande échelle par des criminels.
Toutes les vulnérabilités exploitées par Coruna ont été corrigées dans les versions actuelles d’iOS. Les appareils exécutant iOS 17.2.1 et les versions antérieures, publiées jusqu’en décembre 2023, restent concernés.
Ce qui s’est passé
Google a suivi Coruna à travers trois opérateurs distincts en 2025. Il est apparu pour la première fois en février dans une chaîne d’exploits utilisée par un client d’un fournisseur commercial de surveillance non nommé.
À l’été, le même framework JavaScript est apparu sous forme d’iframes cachées sur des sites web ukrainiens compromis, ciblant sélectivement les utilisateurs d’iPhone par géolocalisation – une activité attribuée à UNC6353, un groupe d’espionnage russe présumé. Fin 2025, la boîte à outils complète avait été déployée sur des centaines de faux sites en chinois liés aux cryptomonnaies et aux jeux d’argent, compromettant environ 42 000 appareils au cours d’une seule campagne.
Le kit fonctionne comme une attaque « drive-by » : aucun clic n’est requis. Lorsqu’une cible visite un site compromis, un JavaScript silencieux se déclenche, effectue l’empreinte de l’appareil et délivre une chaîne d’exploits adaptée. La charge utile, modifiée à des fins criminelles, recherche des phrases mnémoniques BIP39, collecte les données MetaMask et Trust Wallet, puis exfiltre les identifiants vers des serveurs de commande et de contrôle.
À lire aussi : Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Pourquoi c’est important
Le cofondateur d’iVerify, Rocky Cole – ancien analyste de la NSA – a déclaré que la base de code de Coruna est « superbe » et partage des empreintes d’ingénierie avec des modules auparavant publiquement liés à des programmes du gouvernement américain, y compris des composants d’Operation Triangulation, une campagne iOS de 2023 que la Russie a officiellement attribuée à la NSA. Washington n’a jamais commenté cette accusation.
Cole a décrit la situation comme un possible « moment EternalBlue » – en référence à l’exploit Windows développé par la NSA et volé en 2017, qui a ensuite permis les attaques WannaCry et NotPetya.
Google a souligné l’existence d’un « marché de seconde main » actif pour les frameworks d’exploits zero-day, la traçabilité de Coruna illustrant la manière dont des outils de niveau étatique migrent via des courtiers vers des infrastructures criminelles sans point de transfert clair.
La NSA n’a pas répondu aux demandes de commentaires. Apple a publié des correctifs couvrant toutes les vulnérabilités Coruna connues.
À lire ensuite : JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act