Das Google Threat Intelligence Team (GTIG) hat ein hochentwickeltes Exploit-Kit für iOS mit dem Namen Coruna (Alias CryptoWaters) offengelegt. Die Plattform zielte auf Apple-Geräte mit iOS 13.0 bis iOS 17.2.1 und kombinierte 23 dokumentierte Sicherheitslücken in fünf vollständigen Exploit-Ketten. Aktuelle iOS-Versionen gelten nach Stand der Analyse als nicht mehr anfällig, doch die Professionalität des Frameworks zeigt, wie weit der Markt für kommerzielle Spyware und Zero-Day-Exploits inzwischen entwickelt ist.
Architektur des Exploit-Kits Coruna und verwendete Angriffstechniken
Coruna ist nicht als einzelner Exploit, sondern als modulares Framework konzipiert. Mehrere Angriffe teilen sich gemeinsame Hilfsbibliotheken, sodass Angreifer schnell neue Exploit-Chains zusammenstellen können. Nach Angaben von GTIG setzt das Kit auf nicht öffentliche Ausnutzungstechniken und fortgeschrittene Methoden zum Umgehen der in iOS integrierten Schutzmechanismen.
Der Angriffsweg beginnt im Browser des Opfers mit der Ausführung von JavaScript. Das Skript erkennt Modell und iOS-Version des Geräts und lädt dann gezielt einen passenden WebKit-Remote-Code-Execution-Exploit (RCE) nach. WebKit ist die Rendering-Engine von Safari und zahlreichen In-App-Browsern, weshalb Schwachstellen in diesem Bereich besonders kritisch sind.
Nach erfolgreicher Codeausführung im Browser konzentriert sich Coruna auf den Bypass sicherheitsrelevanter Hardware-Features, insbesondere des Pointer Authentication Code (PAC). PAC soll Manipulationen an Speicherzeigern in modernen Apple-CPUs verhindern und Exploits deutlich erschweren. Coruna enthält jedoch speziell entwickelte Routinen, um diese Schutzschicht zu umgehen und den Weg zu Sandbox-Escape und Kernel-Privilegien zu ebnen.
Ein zentrales Ziel war die WebKit-Schwachstelle CVE-2024-23222, eine Type-Confusion-Lücke, die laut Apple-Sicherheitsbulletins mit iOS 17.3 (Januar 2024) geschlossen wurde. Die Nutzung genau solcher frisch gepatchter Schwachstellen unterstreicht, wie wichtig schnelle Sicherheitsupdates für mobile Endgeräte sind.
Von kommerzieller Spyware zu Cybercrime: Der Weg von Coruna
GTIG beobachtete Coruna erstmals im Februar 2025 in der Infrastruktur eines kommerziellen Spyware-Anbieters. In einem nächsten Schritt tauchte das Kit bei mutmaßlich staatlich unterstützten Gruppen auf. Spätestens im Dezember 2025 wurde es dann von einer finanziell motivierten chinesischen Hackergruppe aktiv genutzt, insbesondere für Krypto-Diebstahl.
Sicherheitsforscher gehen auf Basis mehrerer Fälle – unter anderem Berichten von GTIG und Anbietern wie iVerify – von einem wachsenden inoffiziellen „Second-Hand-Markt“ für Zero-Day-Exploits aus. Dort werden ehemals exklusive Exploits, die teils für Nachrichtendienste entwickelt wurden, später an weitere Akteure weiterverkauft. Coruna gilt als anschauliches Beispiel dafür, wie kommerzielles Spionage-Tooling in kriminelle Kampagnen „durchsickert“.
Infektionswege: Kompromittierte Webseiten und gefälschte Finanzportale
Zielgerichtete Angriffe über kompromittierte ukrainische Websites
Im Juli 2025 stellten Forscher denselben JavaScript-Ladecode auf dem Domainnamen cdn.uacounter[.]com fest. Über versteckte iFrames wurde Coruna auf kompromittierten ukrainischen Websites eingebunden – darunter Online-Shops, Industrieportale und lokale Dienstleistungsseiten. GTIG ordnet diese Kampagne einer vermutlich russischsprachigen Spionagegruppe mit der Bezeichnung UNC6353 zu.
Auffällig ist der streng selektive Einsatz der Exploits: Nur bestimmte iPhone-Nutzer wurden angegriffen, abhängig von Geolokation und weiteren Profilmerkmalen. Dieses Vorgehen ist typisch für staatlich oder nachrichtendienstlich geprägte Operationen, die das Entdecktwerden ihrer Zero-Days minimieren wollen.
Gefälschte Krypto- und Finanzseiten in China und Diebstahl von Wallets
Im Dezember 2025 tauchte Coruna erneut „in the wild“ auf – diesmal auf einer Vielzahl gefälschter chinesischer Finanz- und Kryptowebsites. Besuchern wurde suggeriert, die Seite funktioniere mit iPhone oder iPad „am besten“. Nach dem Aufruf mit einem iOS-Gerät lud ein versteckter iFrame automatisch das Exploit-Kit. Diese Aktivität wird der Gruppe UNC6691 zugeschrieben.
Endpunkt dieser Angriffskette war ein Modul namens PlasmaLoader (auch PlasmaGrid), das sich in den Systemprozess powerd einhängte, um Erkennung zu erschweren. Anschließend wurden Module nachgeladen, die speziell auf Kryptowallets wie MetaMask, Phantom, Exodus, BitKeep und weitere abzielen. Der Schadcode extrahierte Seed-Phrasen, Daten aus Apple Notizen sowie weitere vertrauliche Informationen, verschlüsselte diese mit AES und leitete sie an Command-and-Control-Server weiter.
Zur Erhöhung der Ausfallsicherheit verwendete PlasmaLoader einen Domain-Generierungs-Algorithmus (DGA). Über die Zeichenkette „lazarus“ wurden zahlreiche Domains unter der Top-Level-Domain .xyz erzeugt. Solche DGAs sind seit Jahren in APT- und Finanzmalware-Familien etabliert und erschweren die vollständige Zerschlagung der Infrastruktur erheblich.
Fähigkeiten von Coruna und Bezug zu Operation Triangulation
Die Analyse von GTIG zeigt, dass Coruna ein breites Angriffsspektrum abdeckt: Remote Code Execution über WebKit, PAC-Bypass, Ausbruch aus der Browser-Sandbox, Privilegienerweiterung bis zum Kernel und Umgehung des Page Protection Layer (PPL). Die Exploits sind mit ausführlichen Docstrings und Kommentaren in englischer Sprache versehen, was stark auf eine professionelle, kommerzielle Entwicklung schließen lässt.
Unter den 23 Modulen finden sich auch Exploits für Schwachstellen, die bereits in Operation Triangulation beschrieben wurden, etwa CVE-2023-32434 und CVE-2023-38606, über die Kaspersky 2023 ausführlich berichtet hat. Gleichzeitig betonen die Analysten von Kaspersky, dass keine Hinweise auf direkten Code-Reuse vorliegen und sich die Urheber von Coruna somit nicht eindeutig den Betreibern von Operation Triangulation zuordnen lassen.
Reaktion der Behörden und wirksame Schutzmaßnahmen für iOS-Nutzer
GTIG weist darauf hin, dass Coruna nicht greift, wenn auf dem Gerät der Lockdown Mode aktiviert oder der Private Modus im Browser genutzt wird. Der Lockdown Mode verschärft zahlreiche Systemrestriktionen – etwa für Anhänge, JIT-Compiler und eingehende Verbindungen – und reduziert dadurch deutlich die Angriffsfläche moderner iOS-Exploits. Der Preis ist eine eingeschränkte Nutzerfreundlichkeit, die für exponierte Zielgruppen (Journalisten, Aktivisten, Führungskräfte) jedoch gerechtfertigt sein dürfte.
Am 5. März 2026 nahm die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) drei von Coruna ausgenutzte Schwachstellen – CVE-2021-30952, CVE-2023-41974 und CVE-2023-43000 – in ihren Katalog Known Exploited Vulnerabilities (KEV) auf. Bundesbehörden wurden verpflichtet, die entsprechenden Patches spätestens bis 26. März 2026 einzuspielen. Ein Eintrag im KEV-Katalog bedeutet, dass eine Schwachstelle nachweislich in realen Angriffen ausgenutzt wird und bei der Priorisierung von Patches höchste Dringlichkeit hat.
Die Analyse von Coruna zeigt, wie gefährlich die Kombination aus kommerzieller Spyware, Zero-Day-Markt und finanziell motivierten Angreifern inzwischen ist – insbesondere im Kontext von Kryptowährungen und digitalen Vermögenswerten. Für iPhone- und iPad-Nutzer bleibt entscheidend, iOS und Safari zeitnah zu aktualisieren, bei erhöhtem Risiko den Lockdown Mode zu nutzen, ausschließlich vertrauenswürdige Websites und offizielle Apps zu verwenden und Seed-Phrasen von Wallets grundsätzlich offline aufzubewahren. Organisationen sollten ein strukturiertes Vulnerability-Management etablieren, mobile Endgeräte überwachen und Meldungen von CISA, Apple und anderen Anbietern eng verfolgen, um das Zeitfenster für die Ausnutzung solcher Exploit-Kits so weit wie möglich zu verkleinern.
