Google'ın Tehdit İstihbarat Grubu, Coruna adlı gelişmiş bir iOS istismar çerçevesini ayrıntılandıran bir araştırma yayımladı – beş tam istismar zincirine yayılmış 23 güvenlik açığı içeren bu çerçeve, 2025 boyunca Rus casusluk operatörleri olduğundan şüphelenilen gruplar ve Çinli kripto para dolandırıcıları tarafından kullanıldı.
Mobil güvenlik şirketi iVerify, ayrı olarak yürüttüğü sonuçta kod tabanının ABD hükümeti tarafından geliştirilen araçların izlerini taşıdığını ve bunun, bir ulus-devletin iOS kabiliyetlerinin kitlesel suç kullanımı için yeniden amaçlandığı bilinen ilk vaka olabileceğini söyledi.
Coruna tarafından istismar edilen tüm güvenlik açıkları, mevcut iOS sürümlerinde yamalandı. Aralık 2023’e kadar yayımlanan iOS 17.2.1 ve daha eski sürümleri çalıştıran cihazlar hâlâ etkilenen aralıkta yer alıyor.
Ne Oldu?
Google, Coruna’yı 2025 yılı boyunca üç farklı operatör üzerinden izledi. İlk olarak Şubat ayında, adı açıklanmayan ticari bir gözetim satıcısının müşterisi tarafından kullanılan bir istismar zincirinde ortaya çıktı.
Yaz aylarına gelindiğinde, aynı JavaScript çerçevesi, ele geçirilmiş Ukrayna sitelerinde gizli iframe’ler olarak ortaya çıktı; bu siteler, coğrafi konuma göre seçici biçimde iPhone kullanıcılarını hedefliyordu – bu faaliyet, Rus casusluk grubu olduğundan şüphelenilen UNC6353’e atfedildi. 2025’in sonlarına doğru ise, tam araç seti yüzlerce sahte Çince kripto para ve kumar sitesi genelinde konuşlandırıldı ve tek bir kampanyada tahmini 42.000 cihazı ele geçirdi.
Kit, “drive‑by” saldırı şeklinde çalışıyor: tıklama gerekmez. Hedef, ele geçirilmiş bir siteyi ziyaret ettiğinde, cihazı parmak izi çıkaran ve hedefe özel bir istismar zinciri sunan sessiz JavaScript kodu tetikleniyor. Suçlular tarafından uyarlanmış yük, BIP39 tohum ifadelerini tarıyor, MetaMask ve Trust Wallet verilerini topluyor ve kimlik bilgilerini komuta‑kontrol sunucularına sızdırıyor.
Ayrıca okuyun: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Neden Önemli?
iVerify kurucu ortağı ve eski bir NSA analisti olan Rocky Cole, Coruna’nın kod tabanının “mükemmel” olduğunu ve kamuoyunda ABD hükümet programlarıyla ilişkilendirilen modüllerle mühendislik parmak izlerini paylaştığını söyledi; bunlar arasında, Rusya’nın resmen NSA’ya atfettiği 2023 iOS kampanyası Operation Triangulation bileşenleri de yer alıyor. Washington bu iddia hakkında hiçbir zaman yorum yapmadı.
Cole, durumu, 2017’de çalınan ve daha sonra WannaCry ile NotPetya saldırılarını mümkün kılan NSA geliştirmesi Windows istismarıyla bağlantılı “EternalBlue anı”na benzer potansiyel bir kriz olarak tanımladı.
Google, sıfır gün istismar çerçeveleri için aktif bir “ikinci el pazar” bulunduğunu, Coruna’nın izinin ise devlet düzeyindeki araçların aracılar üzerinden açık bir devir noktası olmadan suç altyapısına nasıl göç ettiğini pekiştirdiğini belirtti.
NSA, yorum talebine yanıt vermedi. Apple, bilinen tüm Coruna güvenlik açıklarını kapsayan yamalar yayımladı.
Sıradaki haber: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act