Das bislang unbekannte iOS-Exploit-Kit “Coruna” mit 23 Schwachstellen wird von mehreren Bedrohungsakteuren für Spionage und Finanzverbrechen genutzt. Das Kit enthält fünf vollständige Exploit-Ketten für iOS-Versionen 13.0 bis 17.2.1 und ist mittlerweile von Überwachungsanbietern zu Cyberkriminellen übergegangen.
Forscher von Googles Threat Intelligence Group (GTIG) haben ein umfassendes iOS-Exploit-Kit namens “Coruna” mit insgesamt 23 Schwachstellen dokumentiert, das aktuell von verschiedenen Bedrohungsakteuren eingesetzt wird. Das Kit umfasst fünf komplette Exploit-Ketten für iOS-Versionen 13.0 bis 17.2.1 und nutzt teilweise undokumentierte Exploitationstechniken sowie Umgehungen von Sicherheitsmaßnahmen.
Die erste Aktivität im Zusammenhang mit Coruna wurde im Februar 2025 beobachtet und ließ sich auf einen Kunden eines Überwachungsanbieters zurückführen. Damals gelang es den Forschern, das JavaScript-Delivery-Framework sowie den Exploit für die WebKit-Schwachstelle CVE-2024-23222 zu sichern, die Remote Code Execution auf iOS 17.2.1 ermöglicht. Apple hatte diese Sicherheitslücke am 22. Januar 2024 in iOS 17.3 behoben, nachdem sie bereits in Zero-Day-Angriffen ausgenutzt worden war.
Im Sommer 2025 erschien dasselbe Framework erneut bei sogenannten Watering-Hole-Angriffen. Die verdächtigte russische Hacker-Gruppe UNC6353 nutzte es, um iPhone-Benutzer auf kompromittierten ukrainischen Websites für E-Commerce, Industrieausrüstung und lokale Dienstleistungen zu attackieren. Später im Jahr tauchte das Kit auf gefälschten chinesischen Glücksspiel- und Kryptoseiten auf, wo es die finanziell motivierte chinesische Gruppe UNC6691 einsetzte.
Nach der Beschaffung des kompletten Kits entdeckten GTIG-Analysten ein hochdokumentiertes System mit ausführlichen Kommentaren in englischer Sprache. Einige der Exploits basieren auf Schwachstellen, die erstmals während der Operation Triangulation bekannt wurden, die Kaspersky im Juni 2023 aufdeckte und die undokumentierte Hardware-Features von Apple ausnutzten.
Das Framework führt eine Geräte- und Betriebssystem-Fingerprinting durch und wählt dann die passende Exploit-Kette aus. Ist jedoch der Lockdown Mode oder Private Browsing aktiviert, stoppt das Framework die Ausführung.
Nach erfolgreicher Exploitation wird als Payload ein Stager-Loader namens PlasmaLoader (von GTIG als PlasmaGrid bezeichnet) in den iOS-Root-Daemon “powerd” eingespritzt. Im Gegensatz zu typischer Spyware lädt dieser Module nach, die gezielt auf Kryptowährungs-Wallets wie MetaMask, Phantom, Exodus, BitKeep und Uniswap abzielen.
Die Angreifer nutzten gefälschte Finanz- und Kryptoseiten als Verbreitungskanal und versuchten, Besucher zur Nutzung von iOS-Geräten zu bewegen. Die gestohlenen Daten umfassen Wallet-Recovery-Phrasen (BIP39), sensitive Textstrings wie “Backup-Phrase” und “Bankkontonummer” sowie in Apple Memos gespeicherte Informationen. Diese werden mit AES verschlüsselt und an fest eingecodierte C2-Server übertragen. Zusätzlich verfügt die Malware über einen Domain-Generation-Algorithmus mit dem Seed “lazarus”, der .xyz-Domains generiert.
Ungeklärt bleibt, wie Coruna von Überwachungsanbietern zu Cyberkriminellen gelangte. GTIG deutet auf einen aktiven Markt für “Second-Hand”-Zero-Day-Exploits hin. Dies unterstreicht ein besorgniserregendes Muster: Werkzeuge, die einst Staaten und Überwachungsanbietern vorbehalten waren, verbreiten sich zunehmend unter Kriminellen und gefährden normale Nutzer.
Google hat alle identifizierten Domains zur Safe Browsing-Liste hinzugefügt und empfiehlt iOS-Nutzern ein Update auf die neueste Version. Falls nicht möglich, sollte der Lockdown Mode aktiviert werden.
Quelle: BleepingComputer