Группа по анализу угроз Google (Google's Threat Intelligence Group) опубликовала исследование, описывающее сложную фреймворк‑систему эксплойтов iOS под названием Coruna — в ней 23 уязвимости в пяти полноценных цепочках эксплойтов, которые использовались предполагаемыми российскими операторами кибершпионажа и китайскими криптовалютными мошенниками на протяжении 2025 года.
Мобильная компания по безопасности iVerify отдельно concluded, что кодовая база несет отпечатки инструментов, разработанных правительством США, назвав это первым известным случаем, когда, вероятно, инструменты уровня государства в iOS были перепрофилированы для массового криминального использования.
Все уязвимости, эксплуатируемые Coruna, были исправлены в текущих версиях iOS. Устройства под управлением iOS 17.2.1 и более ранних версий, выпущенных до декабря 2023 года, остаются в зоне риска.
Что произошло
Google tracked Coruna по трем отдельным операторам в течение 2025 года. Впервые она появилась в феврале в цепочке эксплойтов, использовавшейся клиентом неназванного коммерческого поставщика средств слежки.
К лету тот же JavaScript‑фреймворк появился в виде скрытых iframe на скомпрометированных украинских веб‑сайтах, выборочно нацеливаясь на пользователей iPhone по геолокации — это приписывается группе UNC6353, предположительно российской шпионской структуре. К концу 2025 года полный инструментарий был развернут на сотнях фальшивых китайскоязычных сайтов о криптовалютах и гемблинге, скомпрометировав, по оценке, 42 000 устройств в рамках одной кампании.
Набор работает как атака формата drive‑by: никаких кликов не требуется. Достаточно, чтобы цель посетила скомпрометированный сайт — это запускает скрытый JavaScript, который проводит отпечаток устройства и доставляет подобранную под него цепочку эксплойтов. Адаптированный под криминал нагрузочный модуль сканирует фразы‑сид BIP39, собирает данные MetaMask и Trust Wallet и выводит учетные данные на серверы командования и управления.
Читайте также: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Почему это важно
Сооснователь iVerify Рокки Коул — бывший аналитик АНБ США — заявил, что кодовая база Coruna «превосходна» и имеет инженерные отпечатки модулей, которые ранее публично связывали с правительственными программами США, включая компоненты Operation Triangulation, кампании против iOS 2023 года, которую Россия официально приписала АНБ США. Вашингтон никогда не комментировал это обвинение.
Коул described ситуацию как потенциальный «момент EternalBlue», ссылаясь на эксплойт Windows, разработанный АНБ и похищенный в 2017 году, который позже позволил атаки WannaCry и NotPetya.
Google отметила существование активного «вторичного рынка» фреймворков для эксплуатации нулевых дней: история Coruna подчеркивает, как инструменты государственного уровня через брокеров перетекают в криминальную инфраструктуру без ясной точки передачи.
АНБ не ответило на запросы о комментариях. Apple выпустила патчи, закрывающие все известные уязвимости Coruna.
Читайте далее: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act