Zespół Threat Intelligence Google opublikował badania opisujące zaawansowany framework exploitów na iOS o nazwie Coruna – zawierający 23 podatności w pięciu pełnych łańcuchach exploitów – który był używany w 2025 roku przez podejrzanych rosyjskich operatorów wywiadowczych oraz chińskich oszustów kryptowalutowych.
Firma zajmująca się bezpieczeństwem mobilnym iVerify osobno concluded, że baza kodu nosi cechy narzędzi opracowanych przez rząd USA, nazywając to pierwszym znanym przypadkiem prawdopodobnych możliwości iOS na poziomie państwowym przerobionych do masowego wykorzystania przestępczego.
Wszystkie podatności wykorzystywane przez Corunę zostały załatane w obecnych wersjach iOS. Urządzenia z iOS 17.2.1 i starszymi, wydanymi do grudnia 2023 roku, pozostają w zakresie zagrożonym.
Co się stało
Google tracked Corunę poprzez trzech odrębnych operatorów w ciągu 2025 roku. Po raz pierwszy pojawiła się w lutym w łańcuchu exploitów używanym przez klienta nienazwanego komercyjnego dostawcy oprogramowania szpiegowskiego.
Latem identyczny framework JavaScript pojawił się jako ukryte iframy na zainfekowanych ukraińskich stronach, selektywnie atakujących użytkowników iPhone’ów na podstawie geolokalizacji – przypisanych grupie UNC6353, podejrzanej o powiązania z rosyjskim wywiadem. Pod koniec 2025 roku pełen zestaw narzędzi został wdrożony na setkach fałszywych chińskojęzycznych stron z kryptowalutami i hazardem, kompromitując szacunkowo 42 000 urządzeń w ramach jednej kampanii.
Zestaw działa jako atak drive‑by: bez potrzeby klikania. Samo odwiedzenie zainfekowanej strony przez cel uruchamia cichy JavaScript, który fingerprintuje urządzenie i dostarcza dopasowany łańcuch exploitów. Przestępczo zaadaptowany ładunek skanuje pod kątem fraz seed BIP39, pozyskuje dane MetaMask i Trust Wallet oraz wykrada dane logowania na serwery dowodzenia i kontroli.
Dlaczego to ma znaczenie
Współzałożyciel iVerify, Rocky Cole – były analityk NSA – powiedział, że baza kodu Coruny jest „znakomita” i dzieli cechy inżynieryjne z modułami wcześniej publicznie łączonymi z programami rządu USA, w tym z komponentami z Operation Triangulation, kampanii iOS z 2023 roku, którą Rosja oficjalnie przypisała NSA. Waszyngton nigdy nie skomentował tego zarzutu.
Cole described sytuację jako potencjalny „moment EternalBlue” – nawiązując do exploita na Windows, opracowanego przez NSA i skradzionego w 2017 roku, który później umożliwił ataki WannaCry i NotPetya.
Google zauważyło istnienie aktywnego „rynku wtórnego” dla frameworków exploitów zero‑day, a ślad Coruny dodatkowo pokazuje, jak narzędzia na poziomie państwowym migrują przez brokerów do infrastruktury przestępczej bez wyraźnego punktu przekazania.
NSA nie odpowiedziała na prośby o komentarz. Apple wydało poprawki obejmujące wszystkie znane podatności Coruny.
Read next: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act