Le Threat Intelligence Group de Google a publié des recherches détaillant un cadre d'exploitation iOS sophistiqué appelé Coruna – contenant 23 vulnérabilités réparties sur cinq chaînes d'exploit complètes – qui a été utilisé tout au long de 2025 par des opérateurs présumés d'espionnage russe et des escrocs en cryptomonnaies chinois.
La société de sécurité mobile iVerify a, de son côté, conclu séparément que la base de code porte les marques d'outils développés par le gouvernement américain, la qualifiant de premier cas connu de capacités iOS étatiques vraisemblablement réaffectées à un usage criminel de masse.
Toutes les vulnérabilités exploitées par Coruna ont été corrigées dans les versions actuelles d'iOS. Les appareils exécutant iOS 17.2.1 et des versions antérieures, publiées jusqu'en décembre 2023, restent dans la plage affectée.
Ce qui s’est passé
Google a suivi Coruna à travers trois opérateurs distincts en 2025. Il est d'abord apparu en février dans une chaîne d'exploit utilisée par un client d'un fournisseur de surveillance commerciale non nommé.
À l'été, le même framework JavaScript est apparu sous forme d'iframes cachées sur des sites web ukrainiens compromis, ciblant sélectivement les utilisateurs d'iPhone par géolocalisation – une activité attribuée à UNC6353, un groupe d'espionnage russe présumé. À la fin de 2025, l'ensemble de la boîte à outils avait été déployé sur des centaines de faux sites web en langue chinoise dédiés aux cryptomonnaies et aux jeux d'argent, compromettant environ 42 000 appareils lors d'une seule campagne.
Le kit fonctionne comme une attaque par « drive‑by » : aucun clic requis. Une cible visitant un site compromis déclenche silencieusement du JavaScript qui effectue l’empreinte numérique de l’appareil et délivre une chaîne d'exploit sur mesure. La charge utile adaptée au crime recherche des phrases mnémoniques BIP39, collecte les données MetaMask et Trust Wallet, et exfiltre les identifiants vers des serveurs de commande et de contrôle.
À lire aussi : Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Pourquoi c’est important
Le cofondateur d’iVerify, Rocky Cole – ancien analyste de la NSA – a déclaré que la base de code de Coruna est « superbe » et partage des empreintes d’ingénierie avec des modules auparavant publiquement liés à des programmes du gouvernement américain, y compris des composants de l’Opération Triangulation, une campagne iOS de 2023 que la Russie a officiellement attribuée à la NSA. Washington n’a jamais commenté cette allégation.
Cole a décrit la situation comme un possible « moment EternalBlue » – en référence à l’exploit Windows développé par la NSA, volé en 2017, qui a ensuite permis les attaques WannaCry et NotPetya.
Google a souligné l’existence d’un « marché de seconde main » actif pour les frameworks d’exploits zero‑day, la piste de Coruna illustrant comment des outils de niveau étatique migrent via des courtiers vers des infrastructures criminelles sans point de transfert clair.
La NSA n’a pas répondu aux demandes de commentaires. Apple a publié des correctifs couvrant toutes les vulnérabilités Coruna connues.
À lire ensuite : JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act