Google cho biết họ đã xác định một exploit kit "mới và mạnh mẽ" có tên Coruna (còn gọi là CryptoWaters) nhắm mục tiêu vào các mẫu iPhone của Apple chạy phiên bản iOS từ 13.0 đến 17.2.1.
Theo Google Threat Intelligence Group (GTIG), exploit kit này có năm chuỗi exploit iOS hoàn chỉnh và tổng cộng 23 exploit. Nó không hiệu quả đối với phiên bản iOS mới nhất. Phát hiện này lần đầu tiên được WIRED báo cáo.
"Giá trị kỹ thuật cốt lõi của exploit kit này nằm ở bộ sưu tập toàn diện các exploit iOS, với những exploit tiên tiến nhất sử dụng các kỹ thuật exploitation không công khai và các biện pháp mitigation bypasses," GTIG cho biết. "Khung làm việc xung quanh exploit kit được thiết kế cực kỳ tốt; các exploit đều được kết nối tự nhiên và kết hợp với nhau bằng các common utility và exploitation frameworks."
Bộ kit này được cho là đã lưu hành giữa nhiều threat actor kể từ tháng 2 năm 2025, chuyển từ một hoạt động giám sát thương mại sang một kẻ tấn công được chính phủ hậu thuẫn, và cuối cùng, đến một threat actor có động cơ tài chính hoạt động từ Trung Quốc vào tháng 12.
Hiện tại vẫn chưa rõ cách exploit kit này đổi chủ, nhưng các phát hiện chỉ ra một thị trường tích cực cho các zero-day exploit đã qua sử dụng, cho phép các threat actor khác tái sử dụng chúng cho các mục tiêu của riêng họ. Trong một báo cáo liên quan, iVerify cho biết exploit kit này có những điểm tương đồng với các framework trước đây được phát triển bởi các threat actor có liên kết với chính phủ Hoa Kỳ.
"Coruna là một trong những ví dụ quan trọng nhất mà chúng tôi đã quan sát được về khả năng tinh vi cấp độ spyware lan rộng từ các nhà cung cấp surveillance thương mại vào tay các nation-state actor và cuối cùng là các hoạt động tội phạm quy mô lớn," iVerify cho biết.
Nhà cung cung cấp bảo mật di động cho biết việc sử dụng framework exploit tinh vi này đánh dấu lần đầu tiên quan sát thấy mass exploitation nhắm vào các thiết bị iOS, cho thấy các cuộc tấn công spyware đang chuyển từ mục tiêu cao sang triển khai rộng rãi.
Google cho biết lần đầu tiên họ đã thu được các phần của một chuỗi exploit iOS được sử dụng bởi một khách hàng của một công ty surveillance giấu tên vào đầu năm ngoái, với các exploit được tích hợp vào một JavaScript framework chưa từng thấy trước đây. Framework này được thiết kế để fingerprint thiết bị nhằm xác định xem đó có phải là thiết bị thật hay không và thu thập chi tiết, bao gồm cả mẫu iPhone cụ thể và phiên bản phần mềm iOS mà nó đang chạy.
Framework sau đó tải WebKit remote code execution (RCE) exploit thích hợp dựa trên dữ liệu fingerprint, tiếp theo là thực hiện một pointer authentication code (PAC) bypass. Exploit được đề cập liên quan đến CVE-2024-23222, một lỗi type confusion trong WebKit đã được Apple vá vào tháng 1 năm 2024 với iOS 17.3 và iPadOS 17.3 cũng như iOS 16.7.5 và iPadOS 16.7.5.
Đến tháng 7 năm 2025, cùng một JavaScript framework đã được phát hiện trên miền "cdn.uacounter[.]com", được tải dưới dạng một hidden iFrame trên các trang web Ukraine bị xâm nhập. Điều này bao gồm các trang web phục vụ thiết bị công nghiệp, công cụ bán lẻ, dịch vụ địa phương và thương mại điện tử. Một nhóm espionage Nga bị nghi ngờ có tên UNC6353 được đánh giá là đứng sau chiến dịch này.
Điều thú vị về hoạt động này là framework chỉ được gửi đến một số người dùng iPhone nhất định từ một vị trí địa lý cụ thể. Các exploit được triển khai như một phần của framework bao gồm CVE-2024-23222, CVE-2022-48503 và CVE-2023-43000, trong đó CVE-2023-43000 là một lỗi use-after-free trong WebKit.
Đáng chú ý là CVE-2023-43000 đã được Apple khắc phục trong iOS 16.6 và iPadOS 16.6, phát hành vào tháng 7 năm 2023. Tuy nhiên, các ghi chú phát hành security đã được cập nhật để bao gồm một mục cho lỗ hổng này chỉ vào ngày 11 tháng 11 năm 2025.
Lần thứ ba một JavaScript framework được phát hiện trong thực tế là vào tháng 12 năm 2025. Một nhóm các trang web giả mạo của Trung Quốc, hầu hết liên quan đến tài chính, được phát hiện là đã thả exploit kit iOS, đồng thời kêu gọi người dùng truy cập chúng từ iPhone hoặc iPad để có trải nghiệm người dùng tốt hơn. Hoạt động này được cho là do một threat cluster có tên UNC6691 thực hiện.
Sau khi các trang web này được truy cập thông qua một thiết bị iOS, một hidden iFrame được tiêm vào để phân phối Coruna exploit kit chứa CVE-2024-23222. Việc phân phối exploit, trong trường hợp này, không bị giới hạn bởi bất kỳ tiêu chí geolocation nào.
Phân tích sâu hơn về hạ tầng của threat actor đã dẫn đến việc phát hiện một phiên bản debug của exploit kit, cùng với nhiều mẫu bao gồm năm chuỗi exploit iOS hoàn chỉnh. Tổng cộng 23 exploit bao gồm các phiên bản từ iOS 13 đến iOS 17.2.1 đã được xác định.
Các CVE bị exploit và phiên bản iOS mục tiêu
- Neutron - CVE-2020-27932 (phiên bản 13.x)
- Dynamo - CVE-2020-27950 (phiên bản 13.x)
- buffout - CVE-2021-30952 (phiên bản 13 → 15.1.1)
- jacurutu - CVE-2022-48503 (phiên bản 15.2 → 15.5)
- IronLoader - CVE-2023-32409 (phiên bản 16.0 → 16.3.116.4.0)
- Photon - CVE-2023-32434 (phiên bản 14.5 → 15.7.6)
- Gallium - CVE-2023-38606 (phiên bản 14.x)
- Parallax - CVE-2023-41974 (phiên bản 16.4 → 16.7)
- terrorbird - CVE-2023-43000 (phiên bản 16.2 → 16.5.1)
- cassowary - CVE-2024-23222 (phiên bản 16.6 → 17.2.1)
- Sparrow - CVE-2024-23225 (phiên bản 17.0 → 17.3)
- Rocket - CVE-2024-23296 (phiên bản 17.1 → 17.4)
"Photon và Gallium đang khai thác các lỗ hổng cũng được sử dụng làm zero-day như một phần của Operation Triangulation," Google cho biết. "Exploit kit Coruna cũng nhúng các reusable modules để dễ dàng exploitation các lỗ hổng nói trên."
Vào tháng 12 năm 2023, chính phủ Nga đã tuyên bố chiến dịch này là do U.S. National Security Agency thực hiện, cáo buộc họ đã hacking "vài nghìn" thiết bị Apple của các domestic subscribers và foreign diplomats như một phần của một "reconnaissance operation."
UNC6691 đã được quan sát thấy weaponizing exploit để phân phối một stager binary có tên mã PlasmaLoader (còn gọi là PLASMAGRID) được thiết kế để decode QR codes từ hình ảnh và chạy các module bổ sung được retrieved từ một external server, cho phép nó exfiltrate cryptocurrency wallets hoặc sensitive information từ các apps khác nhau như Base, Bitget Wallet, Exodus và MetaMask, cùng nhiều ứng dụng khác.
"Implant chứa một danh sách các hard-coded C2s nhưng có một fallback mechanism trong trường hợp các servers không phản hồi," GTIG nói thêm. "Implant nhúng một custom domain generation algorithm (DGA) sử dụng chuỗi 'lazarus' làm seed để generate một list of predictable domains. Các domains sẽ có 15 ký tự và sử dụng .xyz làm TLD. Kẻ tấn công sử dụng Google's public DNS resolver để validate xem các domains có active hay không."
Một khía cạnh đáng chú ý của Coruna là nó skips execution trên các thiết bị ở Lockdown Mode, hoặc nếu người dùng đang ở private browsing. Để chống lại mối đe dọa này, người dùng iPhone được khuyên nên cập nhật thiết bị của mình và enable Lockdown Mode để enhanced security.
