Google'ın Tehdit İstihbarat Grubu, Coruna adlı gelişmiş bir iOS exploit çatısını ayrıntılandıran bir araştırma yayımladı. Beş tam exploit zincirine yayılmış 23 güvenlik açığı içeren bu çatı, 2025 boyunca şüpheli Rus casusluk operatörleri ve Çinli kripto para dolandırıcıları tarafından kullanıldı.
Mobil güvenlik şirketi iVerify, ayrı bir analizde kod tabanının ABD hükümeti tarafından geliştirilen araçlara özgü özellikler taşıdığı sonucuna vardı ve bunun, muhtemelen bir ulus-devletin iOS kabiliyetlerinin kitlesel suç amaçlı yeniden kullanıldığı ilk bilinen vaka olabileceğini açıkladı.
Coruna tarafından istismar edilen tüm güvenlik açıkları, mevcut iOS sürümlerinde yamalandı. Aralık 2023'e kadar yayımlanan iOS 17.2.1 ve daha eski sürümleri çalıştıran cihazlar, etkilenen aralıkta kalmaya devam ediyor.
Ne Oldu
Google, Coruna'yı 2025 yılı boyunca üç farklı operatör üzerinden izledi. Coruna ilk kez şubat ayında, adı açıklanmayan ticari bir gözetim satıcısının müşterisi tarafından kullanılan bir exploit zincirinde ortaya çıktı.
Yaz aylarına gelindiğinde, aynı JavaScript çerçevesi, ele geçirilmiş Ukrayna web sitelerinde gizli iframe'ler olarak göründü ve coğrafi konuma göre seçici biçimde iPhone kullanıcılarını hedef aldı; bu faaliyet, şüpheli bir Rus casusluk grubu olan UNC6353'e atfedildi. 2025'in sonlarına gelindiğinde ise, tam araç takımı yüzlerce sahte Çince kripto para ve kumar sitesinde konuşlandırıldı ve tek bir kampanyada tahminen 42.000 cihazı tehlikeye attı.
Kit, sürüş esnasında (drive‑by) saldırı olarak çalışıyor: Herhangi bir tıklama gerekmiyor. Hedef, ele geçirilmiş bir siteyi ziyaret ettiğinde, cihazı parmak iziyle tanımlayan ve uyarlanmış bir exploit zinciri teslim eden sessiz JavaScript tetikleniyor. Suç için uyarlanmış yük, BIP39 tohum ifadelerini tarıyor, MetaMask ve Trust Wallet verilerini topluyor ve kimlik bilgilerini komuta‑kontrol sunucularına sızdırıyor.
Ayrıca okuyun: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Neden Önemli
iVerify kurucu ortağı, eski bir NSA analisti olan Rocky Cole, Coruna'nın kod tabanının “mükemmel” olduğunu ve kamuya açık olarak ABD hükümet programlarıyla ilişkilendirilmiş modüllerle mühendislik “parmak izleri” paylaştığını söyledi; buna, Rusya'nın resmen NSA'ya atfettiği 2023 tarihli iOS kampanyası Operation Triangulation bileşenleri de dahil. Washington bu iddia hakkında hiçbir zaman yorum yapmadı.
Cole, durumu 2017'de çalınan ve daha sonra WannaCry ile NotPetya saldırılarını mümkün kılan NSA geliştirmesi Windows açığını referans alarak, olası bir “EternalBlue anı” olarak tanımladı.
Google, sıfır gün exploit çerçeveleri için etkin bir “ikinci el pazar” bulunduğunu ve Coruna'nın izinin, devlet seviyesindeki araçların aracılar üzerinden net bir devir noktası olmaksızın suç altyapısına nasıl göç ettiğini pekiştirdiğini belirtti.
NSA, yorum taleplerine yanıt vermedi. Apple, bilinen tüm Coruna güvenlik açıklarını kapsayan yamalar yayımladı.
Sıradaki haber: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act