Zespół ds. Analizy Zagrożeń Google (Threat Intelligence Group) opublikował badania opisujące zaawansowany framework exploitów na iOS o nazwie Coruna – zawierający 23 podatności w pięciu pełnych łańcuchach exploita – który był używany przez domniemanych rosyjskich operatorów szpiegowskich oraz chińskich oszustów kryptowalutowych przez cały 2025 rok.
Firma zajmująca się bezpieczeństwem mobilnym iVerify osobno stwierdziła, że baza kodu nosi cechy charakterystyczne narzędzi opracowanych przez rząd USA, określając ją jako pierwszy znany przypadek prawdopodobnych możliwości iOS na poziomie państwowym, przerobionych na masowe wykorzystanie przestępcze.
Wszystkie podatności wykorzystywane przez Corunę zostały załatane w obecnych wersjach iOS. Urządzenia z systemem iOS 17.2.1 i starszymi, wydanymi do grudnia 2023 r., pozostają w zakresie zagrożonych.
Co się stało
Google śledziło Corunę poprzez trzech odrębnych operatorów w całym 2025 roku. Po raz pierwszy pojawiła się w lutym, w łańcuchu exploita używanym przez klienta nienazwanego komercyjnego dostawcy oprogramowania szpiegowskiego.
Latem identyczny framework JavaScript pojawił się jako ukryte iframy na zhakowanych ukraińskich stronach internetowych, selektywnie atakując użytkowników iPhone’ów na podstawie geolokalizacji – działanie przypisano grupie UNC6353, podejrzewanej o powiązania z rosyjskim wywiadem. Pod koniec 2025 r. pełny zestaw narzędzi został wdrożony na setkach fałszywych chińskojęzycznych stron o tematyce kryptowalut i hazardu, kompromitując szacunkowo 42 000 urządzeń w jednej kampanii.
Zestaw działa jako atak typu drive‑by: bez konieczności klikania. Wizyta celu na zainfekowanej stronie uruchamia cichy JavaScript, który fingerprintuje urządzenie i dostarcza dopasowany łańcuch exploita. Zaadaptowany przez przestępców ładunek skanuje pod kątem fraz seed BIP39, pozyskuje dane MetaMask i Trust Wallet oraz wyprowadza dane logowania na serwery dowodzenia i kontroli.
Przeczytaj także: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Dlaczego to ma znaczenie
Współzałożyciel iVerify, Rocky Cole – były analityk NSA – powiedział, że baza kodu Coruny jest „znakomita” i nosi ślady inżynierskie modułów wcześniej publicznie łączonych z programami rządu USA, w tym komponentów z Operation Triangulation, kampanii na iOS z 2023 r., którą Rosja oficjalnie przypisała NSA. Waszyngton nigdy nie skomentował tego zarzutu.
Cole opisał sytuację jako potencjalny „moment EternalBlue” – nawiązując do exploita Windows opracowanego przez NSA, skradzionego w 2017 r., który później umożliwił ataki WannaCry i NotPetya.
Google zwróciło uwagę na aktywny „rynek wtórny” dla frameworków exploitów zero‑day, a ślad Coruny wzmacnia obraz tego, jak narzędzia klasy państwowej migrują przez brokerów do infrastruktury przestępczej bez wyraźnego punktu przekazania.
NSA nie odpowiedziała na prośby o komentarz. Apple wydało poprawki obejmujące wszystkie znane podatności Coruny.
Przeczytaj następnie: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act