Google hat ein neues Exploit-Kit namens Coruna entdeckt, das fünf vollständige iOS-Exploit-Ketten mit insgesamt 23 Exploits gegen iPhones nutzt. Das Kit wurde seit Februar 2025 zwischen verschiedenen Akteuren weitergegeben und markiert die erste beobachtete Massenausbeutung von iOS-Geräten.
Googles Threat Intelligence Group (GTIG) hat ein hochentwickeltes Exploit-Kit unter dem Namen Coruna (auch CryptoWaters genannt) aufgedeckt, das Apple iPhones mit iOS-Versionen zwischen 13.0 und 17.2.1 gezielt angreift. Das Kit ist gegen die neueste iOS-Version unwirksam.
Das Arsenal des Exploit-Kits ist beeindruckend: Fünf vollständige iOS-Exploit-Ketten und insgesamt 23 Exploits, die teilweise auf nicht-öffentlichen Exploitationstechniken und Bypass-Methoden basieren. Das technische Grundgerüst ist außergewöhnlich gut entwickelt – alle Exploit-Komponenten sind logisch miteinander verbunden und nutzen gemeinsame Utility- und Exploitations-Frameworks.
Die Migration des Kits durch verschiedene Akteure ist besonders bemerkenswert: Seit Februar 2025 zirkulierte es zunächst bei kommerziellen Überwachungsoperationen, wechselte dann zu einem staatlich unterstützten Akteur und landete schließlich Ende 2025 bei einer gewinnorientierten Hacker-Gruppe in China. Dies verdeutlicht einen etablierten Markt für gebrauchte Zero-Day-Exploits, in dem Bedrohungsakteure diese für ihre eigenen Ziele recyceln.
Das Unternehmen iVerify warnt: “Coruna ist eines der signifikantesten Beispiele, die wir beobachtet haben, wie spyware-ähnliche Fähigkeiten von kommerziellen Überwachungsanbietern in die Hände von Nationalstaaten und schließlich krimineller Massenoperationen gelangen.”
Google verfolgte die erste Erfassung von Exploit-Komponenten zu einer Kundin eines ungenannten Überwachungsunternehmens in der ersten Jahreshälfte 2024. Diese wurden in ein JavaScript-Framework integriert, das Geräte fingerprinted und iOS-Modell sowie Softwareversion ermittelt. Basierend auf diesen Daten lädt das Framework dann den passenden WebKit-Exploit und führt anschließend einen Pointer Authentication Code (PAC) Bypass aus.
Die Exploits nutzen bekannte Sicherheitslücken wie CVE-2024-23222 (Type-Confusion-Fehler in WebKit, seit Januar 2024 gepatcht) sowie CVE-2022-48503 und CVE-2023-43000 (Use-After-Free-Flaw in WebKit aus Juli 2023).
Die erste dokumentierte Wildtyp-Aktivität im Juli 2025 zeigte das Framework auf der Domain “cdn.uacounter[.]com” als versteckten iFrame auf kompromittierten ukrainischen Websites. Die Gruppe UNC6353, ein mutmaßlich russischer Spionageapparat, steht hinter dieser Kampagne. Das System beschränkte die Exploit-Auslieferung dabei auf spezifische iPhone-Nutzer aus bestimmten Geostandorten.
Im Dezember 2025 folgte eine zweite Welle: Ein Netzwerk gefälschter chinesischer Websites (vorrangig Finanz-bezogen) infizierte iPhones mit dem Coruna-Kit. Die Gruppe UNC6691 ist für diese Kampagne verantwortlich. Im Gegensatz zur Ukraine-Operation erfolgte hier keine Geolokations-Beschränkung.
Die Analyse der Infrastruktur führte zu einer Debug-Version des Exploit-Kits mit fünf vollständigen Exploit-Ketten für iOS 13 bis 17.2.1. Besonders bemerkenswert ist, dass das Kit UNC6691 nutzt, um PlasmaLoader (PLASMAGRID) bereitzustellen – einen Stager-Binary, der QR-Codes dekodiert und zusätzliche Module von externen Servern abruft. Damit werden Kryptowallet-Informationen und Daten aus Apps wie MetaMask und Exodus gestohlen.
Das Implantat verfügt über fest codierte Command-and-Control-Server mit Fallback-Mechanismen und verwendet einen benutzerdefinierten Domain-Generation-Algorithmus mit dem Seed ’lazarus’ zur Generierung vorhersehbarer .xyz-Domains.
Ein interessantes Sicherheitsfeature: Coruna überspringt die Ausführung auf Geräten im Lockdown Mode oder im privaten Browsing. Google empfiehlt iPhone-Nutzern, ihre Geräte aktuell zu halten und den Lockdown Mode zu aktivieren.
Quelle: The Hacker News