Специалисты Google Threat Intelligence Group (GTIG) раскрыли сложный эксплоит-кит для iOS под названием Coruna (также известен как CryptoWaters), нацеленный на устройства Apple с версиями операционной системы от iOS 13.0 до iOS 17.2.1. Набор включает пять полноценных цепочек эксплуатации и 23 отдельных уязвимости. По оценке исследователей, актуальные версии iOS уже не подвержены атакам Coruna, однако масштаб и качество фреймворка вызывают серьёзную обеспокоенность у специалистов по кибербезопасности.
Архитектура эксплоит-кита Coruna и применяемые техники атак
По данным GTIG, наиболее продвинутые компоненты Coruna используют непубличные техники атак и тонкие методы обхода встроенных защитных механизмов iOS. Эксплоит-кит реализован как хорошо спроектированный фреймворк: отдельные эксплоиты связаны общими утилитами, что облегчает их комбинирование в разные цепочки компрометации устройства.
Атака начинается с выполнения JavaScript-кода в браузере жертвы. Скрипт определяет модель iPhone и точную версию iOS, после чего подгружает соответствующий WebKit RCE-эксплоит (удалённое выполнение кода в движке браузера). Далее задействуются модули для обхода Pointer Authentication Code (PAC) — механизма защиты, который должен предотвращать подмену указателей и усложнять эксплуатацию уязвимостей в памяти.
Один из ключевых элементов набора нацелен на уязвимость CVE-2024-23222, связанную с ошибкой типа type confusion в WebKit. Компания Apple закрыла эту брешь в январе 2024 года с выходом iOS 17.3, что ещё раз подчёркивает критическую важность своевременного обновления систем.
Путь Coruna: от коммерческого шпионского ПО до киберпреступников
Впервые Coruna была зафиксирована GTIG в феврале 2025 года в инфраструктуре клиента коммерческого поставщика шпионского ПО. В дальнейшем, по данным аналитиков, эксплоит-кит оказался в распоряжении групп, предположительно связанных с государственными структурами, а к декабрю 2025 года его уже активно использовала финансово мотивированная хак-группа из Китая.
Эксперты предполагают существование неформального «секонд-хенд» рынка нулевых дней, на котором перепродаются ранее эксклюзивные эксплоиты, в том числе разработанные для нужд спецслужб. В компании iVerify охарактеризовали Coruna как показательный пример того, как коммерческое шпионское ПО утрачивает контроль и в итоге используется в криминальных кампаниях.
Таргетированные атаки через скомпрометированные сайты и поддельные ресурсы
Удар по украинским сайтам и шпионская активность
В июле 2025 года тот же JavaScript-фреймворк был обнаружен на домене cdn.uacounter[.]com. Coruna подгружался через скрытый iFrame на скомпрометированных украинских ресурсах, включая интернет-магазины, сайты промышленного оборудования и локальные сервисы. По оценке GTIG, за кампанией стояла предположительно русскоязычная шпионская группировка UNC6353. Эксплоиты выдавались строго избирательно: только определённым пользователям iPhone в зависимости от их геолокации и, вероятно, других критериев профилирования.
Фейковые крипто- и финсайты в Китае и кража криптовалюты
В декабре 2025 года Coruna вновь зафиксировали в дикой природе — на множестве поддельных китайских сайтов финансовой и криптовалютной тематики. Пользователям предлагали зайти на ресурс с iPhone или iPad «для лучшей работы сайта». После этого через скрытый iFrame загружался эксплоит-кит. Эту активность связывают с группировкой UNC6691.
Финальной стадией заражения становился загрузчик PlasmaLoader (он же PlasmaGrid). Он встраивался в системный процесс powerd, что усложняло обнаружение, и подгружал модули для кражи криптовалютных кошельков: MetaMask, Phantom, Exodus, BitKeep и других. Вредонос собирал seed-фразы, данные из Apple Memos и иную конфиденциальную информацию, шифровал её с помощью AES и отправлял на управляющие серверы.
Для устойчивости к блокировкам PlasmaLoader применял алгоритм генерации доменов (DGA), используя строку «lazarus» и создавая многочисленные домены в зоне .xyz. Такая схема затрудняет полное обнуление инфраструктуры управления и контроля за счёт её быстрой ротации.
Возможности Coruna и связь с Operation Triangulation
По итогам анализа GTIG установлено, что Coruna предоставляет операторам широкий набор возможностей: удалённое выполнение кода через WebKit, обход PAC, выход из песочницы браузера, повышение привилегий до уровня ядра и обход Page Protection Layer (PPL). Исследователи отмечают, что эксплоиты снабжены развёрнутой технической документацией, включая docstrings и комментарии на английском языке, что характерно для коммерческих проектов, а не для разрозненных «самописных» инструментов.
Среди 23 эксплоитов были выявлены модули, использующие уязвимости, фигурировавшие в Operation Triangulation (CVE-2023-32434 и CVE-2023-38606), ранее описанной «Лабораторией Касперского». В то же время представители «Лаборатории Касперского» сообщили СМИ, что не находят признаков повторного использования исходного кода и не видят оснований напрямую связывать авторов Coruna с операторами Operation Triangulation.
Реакция регуляторов и практические меры защиты пользователей iOS
GTIG подчёркивает, что Coruna не срабатывает на устройствах с активированным Lockdown Mode и при использовании приватного режима браузера. Это подтверждает эффективность жёстких ограничительных режимов iOS против сложных шпионских и криминальных эксплоит-китов, пусть и ценой снижения удобства использования устройства.
5 марта 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло три уязвимости из арсенала Coruna — CVE-2021-30952, CVE-2023-41974 и CVE-2023-43000 — в каталог Known Exploited Vulnerabilities. Федеральным ведомствам предписано оперативно установить соответствующие обновления безопасности с жёстким дедлайном до 26 марта 2026 года. Включение уязвимостей в KEV-каталог означает, что они достоверно эксплуатируются в реальных атаках и требуют первоочередного закрытия.
Coruna наглядно демонстрирует, насколько опасным становится сочетание коммерческого шпионского ПО, рынка нулевых дней и растущей мотивации киберпреступников, ориентированных на кражу криптовалюты и других цифровых активов. Для пользователей iPhone ключевые рекомендации остаются неизменными: своевременно устанавливать обновления iOS и Safari, по возможности включать Lockdown Mode при повышенных рисках, использовать только доверенные сайты и официальные приложения, а также хранить seed-фразы криптокошельков офлайн. Для организаций критично внедрение процедур управления уязвимостями, мониторинг активности мобильных устройств и оперативная реакция на объявления CISA и других регуляторов, чтобы минимизировать окно для эксплуатации подобных эксплоит-китов.
