Nhóm Tình báo Mối đe dọa của Google đã công bố nghiên cứu chi tiết về một khung khai thác iOS tinh vi có tên Coruna – chứa 23 lỗ hổng trong năm chuỗi khai thác hoàn chỉnh – được các nghi phạm là điệp viên Nga và kẻ lừa đảo tiền mã hóa Trung Quốc sử dụng xuyên suốt năm 2025.
Công ty bảo mật di động iVerify riêng biệt đã kết luận rằng mã nguồn mang dấu hiệu của các công cụ do chính phủ Mỹ phát triển, gọi đây là trường hợp đầu tiên được biết đến về năng lực iOS cấp quốc gia nhiều khả năng bị tái sử dụng cho tội phạm đại trà.
Tất cả lỗ hổng bị Coruna khai thác đều đã được vá trong các phiên bản iOS hiện tại. Thiết bị chạy iOS 17.2.1 trở xuống, phát hành đến tháng 12/2023, vẫn nằm trong phạm vi bị ảnh hưởng.
Chuyện gì đã xảy ra
Google đã theo dõi Coruna qua ba nhà điều hành khác nhau trong năm 2025. Nó lần đầu xuất hiện vào tháng 2 trong một chuỗi khai thác được dùng bởi khách hàng của một nhà cung cấp giám sát thương mại không được nêu tên.
Đến mùa hè, framework JavaScript giống hệt xuất hiện dưới dạng iframe ẩn trên các website Ukraine đã bị xâm phạm, lựa chọn mục tiêu người dùng iPhone theo vị trí địa lý – được quy cho UNC6353, một nhóm bị nghi là gián điệp Nga. Đến cuối năm 2025, toàn bộ bộ công cụ đã được triển khai trên hàng trăm website giả mạo bằng tiếng Trung về tiền mã hóa và cờ bạc, xâm phạm ước tính 42.000 thiết bị chỉ trong một chiến dịch.
Bộ công cụ hoạt động như một cuộc tấn công drive‑by: không cần nhấp chuột. Khi mục tiêu truy cập trang web bị xâm phạm, JavaScript âm thầm được kích hoạt để lấy dấu vân tay thiết bị và phân phối một chuỗi khai thác được điều chỉnh riêng. Payload đã bị tội phạm chỉnh sửa sẽ quét cụm từ seed BIP39, thu thập dữ liệu MetaMask và Trust Wallet, rồi trích xuất thông tin xác thực về máy chủ điều khiển và chỉ huy.
Tại sao việc này quan trọng
Đồng sáng lập iVerify Rocky Cole – cựu nhà phân tích NSA – nói mã nguồn Coruna “xuất sắc” và chia sẻ dấu vân tay kỹ thuật với các module trước đây được công khai liên kết với các chương trình của chính phủ Mỹ, bao gồm các thành phần từ Operation Triangulation, một chiến dịch iOS năm 2023 mà Nga chính thức quy trách nhiệm cho NSA. Washington chưa bao giờ bình luận về cáo buộc đó.
Cole đã mô tả tình huống này như một khả năng “khoảnh khắc EternalBlue” – ám chỉ khai thác Windows do NSA phát triển bị đánh cắp năm 2017, sau đó tạo điều kiện cho các cuộc tấn công WannaCry và NotPetya.
Google lưu ý tồn tại một “thị trường đồ cũ” sôi động cho các framework khai thác zero‑day, và dấu vết Coruna củng cố cách các công cụ cấp nhà nước di chuyển qua các nhà môi giới vào hạ tầng tội phạm mà không có điểm bàn giao rõ ràng.
NSA không trả lời yêu cầu bình luận. Apple đã phát hành các bản vá bao phủ mọi lỗ hổng Coruna đã biết.
Đọc tiếp: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act