Дослідницький підрозділ Google Threat Intelligence Group (GTIG) оприлюднив технічні деталі складного експлоіт-киту для iOS Coruna (також відомого як CryptoWaters). Набір націлений на пристрої Apple з версіями операційної системи від iOS 13.0 до iOS 17.2.1 і включає п’ять повних ланцюжків експлуатації та 23 окремі вразливості. За оцінкою GTIG, актуальні збірки iOS більше не вразливі до Coruna, однак масштаб і якість фреймворку демонструють суттєву еволюцію атак на iPhone.
Як працює Coruna: ланцюжки експлуатації iOS, WebKit та обхід PAC
За даними GTIG, Coruna побудована як модульний фреймворк для атак на iOS: окремі експлойти пов’язані спільними утилітами, що дозволяє гнучко комбінувати їх у різні ланцюжки компрометації. Особливу тривогу викликає використання непублічних технік обходу захисту iOS, зокрема механізмів, спрямованих на подолання сучасних засобів захисту пам’яті.
Атака стартує з виконання JavaScript-коду в браузері жертви. Скрипт визначає модель iPhone та точну версію iOS, після чого завантажує відповідний WebKit RCE-експлойт (remote code execution) для браузерного рушія. Далі задіюються модулі обходу Pointer Authentication Code (PAC) — критичного механізму, покликаного запобігати підміні вказівників у пам’яті й ускладнювати експлуатацію помилок типу use-after-free та type confusion.
Один з ключових модулів Coruna експлуатує вразливість CVE-2024-23222, пов’язану з type confusion у WebKit. Apple усунула цю помилку в iOS 17.3 у січні 2024 року, що ще раз підкреслює критичну важливість своєчасного встановлення оновлень системи та Safari для мінімізації вікна для атак.
Від комерційного шпигунського ПЗ до фінансових кіберзлочинців
GTIG вперше зафіксувала Coruna у лютому 2025 року в інфраструктурі клієнта комерційного постачальника шпигунського ПЗ. Надалі, за результатами аналізу телеметрії, експлоіт-кит опинився у розпорядженні груп, які, ймовірно, пов’язані з державними структурами, а вже до грудня 2025 року його активно застосовувала .
Аналітики припускають існування неформального «секонд-хенд» ринку нульових днів, де перепродаються раніше ексклюзивні експлойти, включно з тими, що розроблялися для спецслужб. В компанії iVerify Coruna назвали показовим прикладом того, як комерційне шпигунське ПЗ втрачає контроль над розповсюдженням і зрештою опиняється в арсеналі класичних кіберзлочинців.
Таргетовані атаки на українські сайти та користувачів iPhone
У липні 2025 року той самий JavaScript-фреймворк було виявлено на домені cdn.uacounter[.]com. Coruna підвантажувалася через прихований iFrame на зламаних українських сайтах: інтернет-магазинах, ресурсах з продажу промислового обладнання та локальних онлайн-сервісах. За оцінкою GTIG, кампанія пов’язана з російськомовною шпигунською групою UNC6353.
Експлойти роздавалися строго вибірково — лише певним користувачам iPhone з урахуванням їхньої геолокації та, ймовірно, додаткових ознак профілювання (тип пристрою, версія ОС, поведінка в браузері). Такий підхід мінімізує «шум» і ускладнює виявлення кампанії традиційними засобами моніторингу трафіку.
Фейкові крипто- та фінансові сайти в Китаї і крадіжка криптовалюти
У грудні 2025 року Coruna знову була зафіксована «в дикій природі» — цього разу на численних підроблених китайських вебресурсах фінансової й криптовалютної тематики. Відвідувачам пропонували зайти на сайт з iPhone або iPad «для кращої роботи сервісу», після чого через прихований iFrame завантажувався експлоіт-кит. Цю активність GTIG пов’язує з групою UNC6691, орієнтованою на монетизацію атаки.
Фінальним етапом зараження виступав завантажувач PlasmaLoader (він же PlasmaGrid). Він впроваджувався в системний процес powerd, що суттєво ускладнювало детектування, і підвантажував модулі для крадіжки криптовалютних гаманців — зокрема MetaMask, Phantom, Exodus, BitKeep та інші. Шкідливе ПЗ збирало seed-фрази, дані з Apple Memos та іншу конфіденційну інформацію, шифрувало її за допомогою AES і відправляло на сервери керування.
Для стійкості до блокувань PlasmaLoader використовував алгоритм генерації доменів (DGA) із використанням рядка «lazarus» і масового створення доменів у зоні .xyz. Така динамічна інфраструктура управління значно ускладнює повне «знезараження» екосистеми за рахунок швидкої ротації доменів.
Можливості Coruna та перетин з Operation Triangulation
За результатами аналізу GTIG, Coruna дає операторам широкий набір можливостей для компрометації iOS-пристроїв: віддалене виконання коду через WebKit, обхід PAC, вихід з пісочниці браузера, підвищення привілеїв до рівня ядра та обхід Page Protection Layer (PPL). Експлойти супроводжуються розгорнутою технічною документацією, docstrings та коментарями англійською мовою, що більше притаманно комерційним продуктам, ніж аматорським «самописним» інструментам.
Серед 23 модулів виявлено експлойти, які використовують вразливості, відомі за кампанією Operation Triangulation (CVE-2023-32434 і CVE-2023-38606), раніше описаною «Лабораторією Касперського». Водночас представники компанії повідомили медіа, що не виявили ознак прямого повторного використання вихідного коду і не бачать підстав однозначно пов’язувати розробників Coruna з операторами Operation Triangulation.
Захист iOS: роль Lockdown Mode та реакція CISA
GTIG відзначає, що Coruna не спрацьовує на пристроях з увімкненим Lockdown Mode і при використанні приватного режиму браузера. Це підтверджує практичну ефективність посилених режимів безпеки iOS проти складних шпигунських і кримінальних експлоіт-китів, навіть попри певне зниження зручності використання.
5 березня 2026 року Агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало три вразливості з арсеналу Coruna — CVE-2021-30952, CVE-2023-41974, CVE-2023-43000 — до каталогу Known Exploited Vulnerabilities (KEV). Федеральним відомствам наказано терміново встановити відповідні патчі до 26 березня 2026 року. Потрапляння до KEV означає, що вразливості достовірно експлуатуються «у полі» та мають бути усунуті в першу чергу.
Coruna демонструє, наскільки небезпечним стає поєднання комерційного шпигунського ПЗ, ринку нульових днів та фінансово мотивованих кібератак на криптовалютні активи. Користувачам iPhone варто максимально скоротити поверхню атаки: регулярно оновлювати iOS та Safari, за підвищених ризиків вмикати Lockdown Mode, уникати переходів за посиланнями на сумнівні фінансові й крипто-сайти, а seed-фрази гаманців зберігати офлайн. Для організацій критично впровадити формалізоване управління вразливостями, моніторинг активності мобільних пристроїв та оперативно реагувати на попередження CISA та інших регуляторів. Інвестиції в ці заходи безпеки прямо зменшують шанс стати наступною ціллю подібних багатостадійних експлоіт-китів для iOS.
