Nhóm Tình báo Mối đe dọa của Google (Google's Threat Intelligence Group) đã công bố nghiên cứu chi tiết về một framework khai thác iOS tinh vi có tên Coruna – chứa 23 lỗ hổng trong năm chuỗi khai thác hoàn chỉnh – được sử dụng bởi các nghi phạm hoạt động gián điệp Nga và kẻ lừa đảo tiền điện tử Trung Quốc trong suốt năm 2025.
Công ty bảo mật di động iVerify tách biệt concluded rằng mã nguồn mang dấu hiệu của các công cụ do chính phủ Mỹ phát triển, gọi đây là trường hợp đầu tiên được biết đến về năng lực iOS cấp độ quốc gia nhiều khả năng bị tái sử dụng cho mục đích tội phạm đại trà.
Tất cả lỗ hổng bị Coruna khai thác đều đã được vá trong các phiên bản iOS hiện tại. Thiết bị chạy iOS 17.2.1 trở về trước, phát hành đến tháng 12/2023, vẫn nằm trong phạm vi bị ảnh hưởng.
Điều gì đã xảy ra
Google tracked Coruna qua ba nhóm vận hành khác nhau trong năm 2025. Nó lần đầu xuất hiện vào tháng 2 trong một chuỗi khai thác được sử dụng bởi khách hàng của một nhà cung cấp giám sát thương mại không được nêu tên.
Đến mùa hè, framework JavaScript giống hệt xuất hiện dưới dạng iframe ẩn trên các trang web Ukraina bị xâm nhập, chọn lọc nhắm mục tiêu người dùng iPhone theo vị trí địa lý – được quy cho UNC6353, một nhóm nghi là gián điệp Nga. Đến cuối năm 2025, toàn bộ bộ công cụ đã được triển khai trên hàng trăm trang web giả mạo bằng tiếng Trung về tiền điện tử và cờ bạc, làm tổn hại ước tính 42.000 thiết bị chỉ trong một chiến dịch.
Bộ kit hoạt động theo kiểu tấn công drive‑by: không cần nhấp chuột. Khi mục tiêu truy cập một trang web bị xâm nhập, JavaScript chạy ngầm sẽ nhận diện dấu vân tay thiết bị và phân phối một chuỗi khai thác được điều chỉnh riêng. Payload đã bị tội phạm chỉnh sửa sẽ quét cụm từ hạt giống BIP39, thu thập dữ liệu MetaMask và Trust Wallet, rồi exfiltrate thông tin xác thực về máy chủ điều khiển và chỉ huy.
Tại sao nó quan trọng
Đồng sáng lập iVerify Rocky Cole – cựu nhà phân tích NSA – cho biết mã nguồn của Coruna là “siêu hạng” và có dấu vết kỹ thuật tương đồng với các module từng được liên kết công khai với các chương trình của chính phủ Mỹ, bao gồm các thành phần từ Operation Triangulation, một chiến dịch iOS năm 2023 mà Nga chính thức quy cho NSA. Washington chưa bao giờ bình luận về cáo buộc đó.
Cole described tình huống này như một “khoảnh khắc EternalBlue” tiềm tàng – ám chỉ khai thác Windows do NSA phát triển bị đánh cắp năm 2017, sau đó được dùng cho các cuộc tấn công WannaCry và NotPetya.
Google lưu ý đang tồn tại một “thị trường đồ cũ” sôi động cho các framework khai thác zero‑day, và dấu vết của Coruna củng cố cách mà công cụ cấp nhà nước di chuyển qua các nhà môi giới vào hạ tầng tội phạm mà không có điểm bàn giao rõ ràng.
NSA đã không phản hồi các yêu cầu bình luận. Apple đã phát hành bản vá bao phủ tất cả lỗ hổng Coruna đã biết.
Đọc tiếp: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act