Nach den ersten Beobachtungen im Februar 2025 tauchte dasselbe verschleierte Framework im Sommer erneut auf: Mutmaßlich russische Cyberspione, die GTIG als UNC6353 verfolgt, setzten es in sogenannten Watering-Hole-Angriffen ein. Ziel waren iPhone-Nutzer, die kompromittierte ukrainische Websites für E-Commerce, Industrieausrüstung, Einzelhandelswerkzeuge und lokale Dienstleistungen besuchten.
Ende 2025 erschien das Exploit-Kit dann auf gefälschten chinesischen Glücksspiel- und Krypto-Websites. Google schreibt diese Aktivität dem finanziell motivierten chinesischen Bedrohungsakteur UNC6691 zu. Nachdem GTIG das vollständige Kit erlangt hatte, fanden die Analysten fünf komplette Exploit-Ketten aus 23 Exploits. „Die Exploits sind umfangreich dokumentiert, einschließlich Docstrings und Kommentaren in muttersprachlichem Englisch. Die fortschrittlichsten nutzen nicht-öffentliche Exploitation-Techniken und Umgehungen von Schutzmechanismen", erklären die GTIG-Forscher.
Einige der Exploits greifen auf Schwachstellen zurück, die erstmals im Rahmen der Operation Triangulation identifiziert wurden. Diese Kampagne hatte Kaspersky im Juni 2023 aufgedeckt, nachdem das Unternehmen kompromittierte iPhones im eigenen Netzwerk entdeckt hatte; später stellte sich heraus, dass die Exploits undokumentierte Hardware-Funktionen in Apple-Geräten missbrauchten.
Laut GTIG erstellt Coruna zunächst einen Fingerabdruck von Gerät und Betriebssystemversion und wählt dann die passende Exploit-Kette aus. Sind der Schutzmodus Lockdown Mode oder der private Browsing-Modus aktiv, bricht das Framework ab.
Als eine der finalen Nutzlasten identifizierte GTIG einen Stager-Loader namens PlasmaLoader, intern als PlasmaGrid verfolgt, der in den iOS-Root-Daemon „powerd" injiziert wird. Die Schadsoftware besitzt jedoch keine spyware-typischen Fähigkeiten: Sie lädt von einem Command-and-Control-Server zusätzliche Module nach, die auf Kryptowallet-Apps wie MetaMask, Phantom, Exodus, BitKeep und Uniswap zielen.
Der Akteur lockte Besucher über gefälschte Finanz- und Krypto-Websites und versuchte, sie zum Aufruf der Seiten mit iOS-Geräten zu bewegen. Ausgespäht werden unter anderem Wallet-Wiederherstellungsphrasen (BIP39), sensible Textbausteine wie „backup phrase" und „bank account" sowie in Apple Memos gespeicherte Daten. Die gestohlenen Informationen werden vor der Exfiltration per AES verschlüsselt und an fest hinterlegte C2-Adressen gesendet. Zur Absicherung gegen Takedowns enthält der Implant zudem einen Domain-Generierungsalgorithmus (DGA), der mit der Zeichenfolge „lazarus" gespeist wird und .xyz-Domains erzeugt.
Wie das Kit vom Einsatz in Spyware-Kampagnen eines Überwachungsanbieters zu finanziell motivierten Angriffen auf Kryptonutzer gelangte, konnte GTIG nicht klären. „Wie diese Verbreitung zustande kam, ist unklar, deutet aber auf einen aktiven Markt für ‚gebrauchte‘ Zero-Day-Exploits hin", heißt es im Bericht. Das Sicherheitsunternehmen iVerify bezeichnet Coruna als eines der bislang deutlichsten Beispiele für „hochentwickelte Fähigkeiten auf Spyware-Niveau", die von kommerziellen Überwachungsanbietern zu staatlichen Akteuren und schließlich in kriminelle Massenoperationen gewandert seien.
Google hat alle bei der Analyse identifizierten Websites und Domains in Safe Browsing aufgenommen und empfiehlt iOS-Nutzern, auf die neueste Version zu aktualisieren; ist das nicht möglich, sollten sie den Lockdown Mode aktivieren. Der GTIG-Bericht enthält zudem Kompromittierungsindikatoren für den Implant, die ausgelieferten Module und die Angriffsinfrastruktur.
