Wie das Kit den Besitzer wechselte, ist nach Angaben von GTIG bislang unklar. Die Beobachtungen deuteten jedoch auf einen aktiven Markt für gebrauchte Zero-Day-Exploits hin, über den andere Akteure die Werkzeuge für eigene Zwecke wiederverwenden könnten. In einem begleitenden Bericht stellt iVerify Ähnlichkeiten zu früheren Frameworks fest, die von Akteuren mit Verbindungen zur US-Regierung entwickelt worden sein sollen. Coruna sei eines der bedeutsamsten Beispiele dafür, dass hochentwickelte Spyware-Fähigkeiten von kommerziellen Überwachungsanbietern an staatliche Akteure und schließlich an kriminelle Massenoperationen weitergereicht würden, so iVerify. Der Einsatz markiere die erste beobachtete Massenausnutzung von iOS-Geräten.
Google erfasste nach eigenen Angaben erstmals Anfang vergangenen Jahres Teile einer iOS-Exploit-Kette, die ein Kunde einer nicht genannten Überwachungsfirma einsetzte. Die Exploits waren in ein bis dahin unbekanntes JavaScript-Framework eingebettet, das ein Gerät zunächst per Fingerprinting auf Echtheit prüft und iPhone-Modell sowie iOS-Version ermittelt. Anschließend lädt es den passenden WebKit-Exploit zur Remote-Code-Ausführung und umgeht den Pointer Authentication Code (PAC). Der betreffende Exploit bezieht sich auf CVE-2024-23222, eine Type-Confusion-Schwachstelle in WebKit, die Apple im Januar 2024 mit iOS 17.3, iPadOS 17.3 sowie iOS 16.7.5 und iPadOS 16.7.5 schloss.
Im Juli 2025 tauchte dasselbe Framework auf der Domain „cdn.uacounter[.]com" auf und wurde als verstecktes iFrame auf kompromittierten ukrainischen Webseiten geladen, darunter Seiten zu Industrieausrüstung, Einzelhandel, lokalen Diensten und E-Commerce. GTIG schreibt die Kampagne der mutmaßlich russischen Spionagegruppe UNC6353 zu. Auffällig war, dass das Framework nur an bestimmte iPhone-Nutzer aus einer bestimmten geografischen Region ausgeliefert wurde. Zum Einsatz kamen CVE-2024-23222, CVE-2022-48503 und CVE-2023-43000 — letztere eine Use-after-free-Lücke in WebKit, die Apple bereits mit iOS 16.6 und iPadOS 16.6 im Juli 2023 behob; ein Eintrag in den Sicherheitshinweisen folgte allerdings erst am 11. November 2025.
Ein drittes Mal entdeckte Google das Framework im Dezember 2025: Gefälschte chinesische Webseiten, überwiegend mit Finanzbezug, spielten das Exploit-Kit aus, nachdem sie Nutzer aufgefordert hatten, sie für ein besseres Erlebnis vom iPhone oder iPad aus zu besuchen. GTIG ordnet die Aktivität dem Cluster UNC6691 zu. Bei diesem Zugriff über ein iOS-Gerät wird ein verstecktes iFrame eingeschleust, das Coruna mit CVE-2024-23222 ausliefert — diesmal ohne geografische Beschränkung. Die weitere Analyse der Infrastruktur förderte eine Debug-Version des Kits zutage sowie Samples für fünf vollständige iOS-Exploit-Ketten mit 23 Exploits für iOS 13 bis 17.2.1.
Laut Google nutzen die Komponenten Photon und Gallium Schwachstellen, die auch als Zero-Days in der Operation Triangulation zum Einsatz kamen; Coruna enthält zudem wiederverwendbare Module zur leichteren Ausnutzung. Im Juni 2023 hatte die russische Regierung diese Kampagne der US-amerikanischen NSA zugeschrieben und ihr vorgeworfen, im Rahmen einer „Aufklärungsoperation" „mehrere tausend" Apple-Geräte inländischer Teilnehmer und ausländischer Diplomaten gehackt zu haben.
UNC6691 setzt den Exploit ein, um einen Stager namens PlasmaLoader (auch PLASMAGRID) auszuliefern, der QR-Codes aus Bildern dekodiert und weitere Module von einem externen Server nachlädt. Damit lassen sich Kryptowährungs-Wallets oder sensible Daten aus Apps wie Base, Bitget Wallet, Exodus und MetaMask abgreifen. Der Implant führt nach GTIG-Angaben fest kodierte C2-Server mit, verfügt aber über einen Domain-Generierungsalgorithmus mit dem Seed „lazarus", der 15-stellige Domains mit der Endung .xyz erzeugt; deren Aktivität prüfen die Angreifer über Googles öffentlichen DNS-Resolver. Coruna verzichtet auf eine Ausführung, wenn der Lockdown-Modus aktiv ist oder privat gesurft wird. Nutzern wird geraten, ihre Geräte aktuell zu halten und den Lockdown-Modus zu aktivieren.
