Група з аналізу загроз Google (Threat Intelligence Group) опублікувала дослідження, у якому описала складний фреймворк експлойтів для iOS під назвою Coruna. Він містить 23 вразливості в межах п’яти повних ланцюжків експлойтів і використовувався підозрюваними російськими шпигунськими операторами та китайськими зловмисниками в сфері криптовалют протягом 2025 року.
Мобільна компанія з кібербезпеки iVerify окремо concluded, що кодова база має риси, притаманні інструментам, розробленим урядом США, назвавши це першим відомим випадком, коли ймовірно державні можливості для iOS були перепрофільовані для масового кримінального використання.
Усі вразливості, які експлуатувала Coruna, виправлені в поточних версіях iOS. Пристрої під керуванням iOS 17.2.1 і старіших версій, випущених до грудня 2023 року, залишаються в зоні ризику.
Що сталося
Google tracked Coruna за трьома різними операторами протягом 2025 року. Вперше її зафіксували в лютому в ланцюжку експлойтів, який використовував клієнт неназваного комерційного постачальника засобів стеження.
До літа ідентичний JavaScript‑фреймворк з’явився як приховані iframe на зламаних українських вебсайтах, вибірково націлюючись на користувачів iPhone за геолокацією — це приписують групі UNC6353, ймовірному російському шпигунському осередку. Наприкінці 2025 року повний набір інструментів розгорнули на сотнях фейкових китайськомовних сайтів про криптовалюти та гемблінг, скомпрометувавши, за оцінками, близько 42 000 пристроїв у межах однієї кампанії.
Набір працює як атака «drive‑by»: жодних кліків не потрібно. Достатньо, щоб ціль зайшла на скомпрометований сайт — це запускає прихований JavaScript, який робить «відбиток» пристрою і доставляє адаптований ланцюжок експлойтів. Кримінально модифікований payload сканує пристрій на наявність seed‑фраз BIP39, збирає дані MetaMask і Trust Wallet та ексфільтрує облікові дані на сервери командування й контролю.
Читайте також: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
Чому це важливо
Співзасновник iVerify Рокі Коул — колишній аналітик АНБ США — зазначив, що кодова база Coruna є «видатною» і демонструє інженерні «відбитки пальців» модулів, які раніше публічно пов’язували з урядовими програмами США. Серед них — компоненти від Operation Triangulation, кампанії проти iOS 2023 року, яку Росія офіційно приписала АНБ США. Вашингтон ніколи не коментував ці звинувачення.
Коул described ситуацію як потенційний «момент EternalBlue» — посилаючись на експлойт для Windows, розроблений АНБ і викрадений у 2017 році, який згодом став основою атак WannaCry та NotPetya.
Google зазначила існування активного «секонд‑генд» ринку фреймворків експлойтів для zero‑day вразливостей; історія з Coruna ще раз показує, як інструменти державного рівня переходять через посередників у кримінальну інфраструктуру без чіткого моменту передачі.
АНБ не відповіло на запити про коментар. Apple випустила оновлення, що закривають усі відомі вразливості Coruna.
Читайте далі: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act