De Threat Intelligence Group van Google heeft onderzoek gepubliceerd over een geavanceerd iOS-exploitframework genaamd Coruna – met 23 kwetsbaarheden verspreid over vijf volledige exploitketens – dat in 2025 is gebruikt door vermoedelijke Russische spionage-operatives en Chinese cryptovaluta-oplichters.
Mobiele beveiligingsfirma iVerify heeft afzonderlijk geconcludeerd dat de codebasis kenmerken vertoont van door de Amerikaanse overheid ontwikkelde tools, en noemde het het eerste bekende geval waarin vermoedelijke iOS-capaciteiten van een natiestaat zijn hergebruikt voor grootschalige criminele activiteiten.
Alle kwetsbaarheden die door Coruna werden misbruikt, zijn gepatcht in huidige iOS-versies. Apparaten die iOS 17.2.1 en ouder draaien, uitgebracht tot en met december 2023, blijven binnen het getroffen bereik.
Wat er gebeurde
Google heeft Coruna in 2025 gevolgd bij drie verschillende operatoren. Het verscheen voor het eerst in februari in een exploitketen die werd gebruikt door een klant van een niet nader genoemde commerciële surveillancedienstverlener.
Tegen de zomer dook hetzelfde JavaScript-framework op als verborgen iframes op gecompromitteerde Oekraïense websites, waarbij iPhone-gebruikers selectief werden aangevallen op basis van geolocatie – toegeschreven aan UNC6353, een vermoedelijke Russische spionagegroep. Eind 2025 werd de volledige toolkit ingezet op honderden valse Chineestalige websites voor cryptovaluta en gokken, waarmee naar schatting 42.000 apparaten in één campagne werden gecompromitteerd.
De kit werkt als een drive‑by‑aanval: geen klik vereist. Een doelwit dat een gecompromitteerde site bezoekt, triggert stille JavaScript-code die het apparaat fingerprint en een op maat gemaakte exploitketen levert. De crimineel aangepaste payload scant naar BIP39 seed phrases, verzamelt gegevens uit MetaMask en Trust Wallet en exfiltreert inloggegevens naar command‑and‑controlservers.
Waarom het ertoe doet
iVerify-medeoprichter Rocky Cole – een voormalig analist van de NSA – zei dat de codebasis van Coruna „uitstekend” is en dezelfde technische vingerafdrukken vertoont als modules die eerder publiekelijk zijn gekoppeld aan programma’s van de Amerikaanse overheid, waaronder componenten van Operation Triangulation, een iOS-campagne uit 2023 die door Rusland officieel aan de NSA werd toegeschreven. Washington heeft nooit op die beschuldiging gereageerd.
Cole beschreef de situatie als een mogelijk „EternalBlue‑moment” – een verwijzing naar de door de NSA ontwikkelde Windows‑exploit die in 2017 werd gestolen en later de WannaCry‑ en NotPetya‑aanvallen mogelijk maakte.
Google wees op een actieve „tweedehandsmarkt” voor zero‑day‑exploitframeworks, waarbij het spoor rond Coruna nog eens onderstreept hoe tools op staatsniveau via tussenpersonen in criminele infrastructuur belanden zonder duidelijk overdrachtsmoment.
De NSA reageerde niet op verzoeken om commentaar. Apple heeft patches uitgebracht die alle bekende Coruna‑kwetsbaarheden afdekken.
Lees hierna: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act