Підрозділ Threat Intelligence Group компанії Google опублікував дослідження, у якому описав складну експлойт‑фреймворк для iOS під назвою Coruna. Він містить 23 вразливості в межах п’яти повних ланцюжків експлойтів і застосовувався ймовірними російськими розвідувальними операторами та китайськими шахраями у сфері криптовалют протягом 2025 року.
Компанія з мобільної безпеки iVerify окремо concluded, що кодова база має характерні риси інструментів, розроблених урядом США, назвавши Coruna першим відомим випадком, коли ймовірно державні можливості для iOS були адаптовані для масового кримінального використання.
Усі вразливості, які експлуатуються Coruna, вже виправлені в поточних версіях iOS. Пристрої з iOS 17.2.1 і старіших версій, випущених до грудня 2023 року, залишаються в зоні ризику.
Що сталося
Google tracked Coruna через трьох різних операторів протягом 2025 року. Вперше набір з’явився у лютому в ланцюжку експлойтів, який використовувався клієнтом неназваного комерційного постачальника засобів стеження.
До літа той самий JavaScript‑фреймворк з’явився у вигляді прихованих iframe на скомпрометованих українських вебсайтах і вибірково цілився в користувачів iPhone за геолокацією — це приписують UNC6353, підозрюваній російській шпигунській групі. Наприкінці 2025 року повний набір інструментів було розгорнуто на сотнях фейкових китайськомовних сайтів про криптовалюти та азартні ігри, що дозволило скомпрометувати, за оцінками, 42 000 пристроїв в одній кампанії.
Набір працює як атака «drive‑by»: жодних кліків не потрібно. Достатньо, щоб ціль відвідала скомпрометований сайт — тоді непомітний JavaScript виконує «відбиток» пристрою та доставляє спеціально підібраний ланцюжок експлойтів. Адаптований під злочинців пейлоад сканує наявність seed‑фраз BIP39, збирає дані MetaMask і Trust Wallet та ексфільтрує облікові дані на сервери командування й контролю.
Читайте також: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Чому це важливо
Співзасновник iVerify Роккі Коул — колишній аналітик АНБ США — заявив, що кодова база Coruna є «винятковою» і має інженерні «відбитки пальців» модулів, які раніше публічно пов’язували з програмами уряду США, включно з компонентами Operation Triangulation — кампанії проти iOS 2023 року, яку Росія офіційно приписала АНБ. Вашингтон ніколи не коментував це звинувачення.
Коул described ситуацію як потенційний «момент EternalBlue», посилаючись на експлойт для Windows, розроблений АНБ і викрадений у 2017 році, що згодом дозволило атаки WannaCry та NotPetya.
Google зазначає існування активного «секонд‑хенд‑ринку» фреймворків для експлойтів нульового дня; історія з Coruna підкреслює, як інструменти державного рівня переходять через посередників до кримінальної інфраструктури без чіткого моменту передачі.
АНБ не відповіло на запити про коментар. Apple випустила патчі, що закривають усі відомі вразливості Coruna.
Читайте далі: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act