Google's Threat Intelligence Group은 Coruna라는 정교한 iOS 익스플로잇 프레임워크에 대한 연구를 발표했다. 이 프레임워크는 다섯 개의 완전한 익스플로잇 체인 전반에 걸친 23개의 취약점으로 구성되어 있으며, 2025년 내내 러시아 정보기관 연루로 의심되는 작전 세력과 중국 암호화폐 사기범들에 의해 사용되었다.
모바일 보안 기업 iVerify는 별도의 분석을 통해, 이 코드베이스가 미국 정부 개발 도구의 특징을 다수 공유하고 있다며, 국가급 iOS 역량이 대규모 범죄용으로 전용된 첫 번째 사례일 수 있다고 평가했다.
Coruna가 악용한 모든 취약점은 현재 iOS 버전에서 패치된 상태다. 2023년 12월까지 출시된 iOS 17.2.1 및 그 이전 버전을 사용하는 기기들은 영향을 받는 범위에 해당한다.
무슨 일이 있었나
구글은 2025년 동안 세 개의 서로 다른 운영 주체를 통해 Coruna를 추적했다. 이 키트는 처음에 2월, 이름이 공개되지 않은 상업용 감시 업체 고객이 사용한 익스플로잇 체인에서 발견되었다.
여름이 되자 동일한 JavaScript 프레임워크가 침해된 우크라이나 웹사이트들 속 숨은 iframe 형태로 나타나, 지리적 위치 정보를 바탕으로 iPhone 사용자를 선별적으로 공격했다. 이 활동은 러시아 스파이 조직으로 의심되는 UNC6353에 귀속되었다. 2025년 말까지 이 툴킷 전체가 중국어로 된 가짜 암호화폐·도박 사이트 수백 개에 배포되며, 단일 캠페인에서 약 4만 2천 대의 기기가 침해된 것으로 추정된다.
이 키트는 사용자의 별도 조작 없이 감염이 이뤄지는 ‘드라이브‑바이’ 공격 방식으로 동작한다. 피해자가 침해된 사이트를 방문하면, 보이지 않는 JavaScript가 실행되어 기기를 지문 채취(fingerprinting)하고, 여기에 맞춰 설계된 익스플로잇 체인을 전달한다. 범죄자 버전 페이로드는 BIP39 시드 구문을 탐색하고, MetaMask와 Trust Wallet 데이터를 수집해 자격 증명을 명령·제어 서버로 유출한다.
왜 중요한가
iVerify 공동 창업자이자 전 NSA 분석가인 Rocky Cole은 Coruna 코드베이스가 “탁월한(superb)” 수준이며, 과거 미국 정부 프로그램과 연결된 것으로 공개된 모듈들과 공학적 지문을 공유한다고 밝혔다. 여기에는 러시아가 공식적으로 NSA 소행이라고 주장한 2023년 iOS 캠페인 Operation Triangulation 관련 컴포넌트도 포함된다. 워싱턴은 이 주장에 대해 어떠한 논평도 내놓지 않았다.
Cole은 이 상황을 2017년 탈취되어 이후 WannaCry와 NotPetya 공격을 가능하게 했던 NSA 개발 Windows 익스플로잇 사건에 빗대어, 잠재적인 “EternalBlue 순간”이라고 표현했다.
구글은 제로데이 익스플로잇 프레임워크를 둘러싼 활발한 ‘중고 시장’이 존재하며, Coruna 사례는 국가급 도구가 중개업자를 거쳐 명확한 인계 지점 없이 범죄 인프라로 흘러 들어가는 경향을 다시 한번 보여준다고 지적했다.
NSA는 논평 요청에 응답하지 않았다. 애플은 현재 알려진 Coruna 취약점을 모두 포함하는 패치를 배포했다.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act