De Threat Intelligence Group van Google heeft onderzoek gepubliceerd over een geavanceerd iOS-exploitframework genaamd Coruna – met 23 kwetsbaarheden verspreid over vijf volledige exploitketens – dat in 2025 werd gebruikt door vermoedelijke Russische spionageoperatives en Chinese cryptovalutafraudeurs.
Mobiele beveiligingsfirma iVerify concludeerde afzonderlijk dat de codebasis kenmerken vertoont van door de Amerikaanse overheid ontwikkelde tools, en noemde het het eerste bekende geval waarin vermoedelijke iOS-capaciteiten van een natiestaat zijn hergebruikt voor grootschalige criminele activiteiten.
Alle kwetsbaarheden die door Coruna zijn misbruikt, zijn gepatcht in huidige iOS-versies. Apparaten die iOS 17.2.1 en ouder draaien, uitgebracht tot en met december 2023, vallen nog binnen het getroffen bereik.
Wat er gebeurde
Google volgde Coruna via drie verschillende operators gedurende 2025. Het verscheen voor het eerst in februari in een exploitketen die werd gebruikt door een klant van een niet bij naam genoemde commerciële surveillanceleverancier.
Tegen de zomer dook hetzelfde JavaScript-framework op als verborgen iframes op gecompromitteerde Oekraïense websites, waarbij iPhone-gebruikers selectief op basis van geolocatie werden aangevallen – toegeschreven aan UNC6353, een vermoedelijke Russische spionagegroep. Tegen eind 2025 was de volledige toolkit uitgerold over honderden Chinese-talig uitziende websites voor cryptovaluta en gokken, waarmee in één campagne naar schatting 42.000 apparaten werden gecompromitteerd.
De kit werkt als een drive-by-aanval: klikken is niet nodig. Een doelwit dat een gecompromitteerde site bezoekt, triggert stille JavaScript dat het apparaat fingerprint en een op maat gemaakte exploitketen aflevert. De crimineel aangepaste payload scant naar BIP39 seed phrases, verzamelt gegevens uit MetaMask en Trust Wallet, en voert inloggegevens af naar command-and-controlservers.
Waarom het ertoe doet
iVerify-medeoprichter Rocky Cole – een voormalig NSA-analist – zei dat de codebasis van Coruna „uitstekend” is en technische vingerafdrukken deelt met modules die eerder publiekelijk zijn gelinkt aan Amerikaanse overheidsprogramma’s, waaronder componenten van Operation Triangulation, een iOS-campagne uit 2023 die door Rusland officieel aan de NSA werd toegeschreven. Washington heeft die beschuldiging nooit becommentarieerd.
Cole omschreef de situatie als een mogelijk „EternalBlue-moment” – een verwijzing naar de door de NSA ontwikkelde Windows-exploit die in 2017 werd gestolen en later de WannaCry- en NotPetya-aanvallen mogelijk maakte.
Google wees op een actieve „tweedehandsmarkt” voor zero-day-exploitframeworks, waarbij het spoor rond Coruna onderstreept hoe tools op staatsniveau via tussenpersonen in criminele infrastructuur terechtkomen zonder duidelijk overdrachtsmoment.
De NSA heeft niet gereageerd op verzoeken om commentaar. Apple heeft patches uitgebracht die alle bekende Coruna-kwetsbaarheden afdekken.
Lees hierna: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act