GTIG hebt den technischen Wert von Coruna an den fortgeschritteneren Exploits hervor, die “nicht öffentliche Ausnutzungstechniken und Umgehungen von Schutzmechanismen” verwenden. iVerify betont, dass hier zum ersten Mal eine Massenausnutzung von iOS-Geräten öffentlich beobachtet wurde.

Dass das Kit tatsächlich den Weg von der Spionage zur Kriminalität genommen hat, belegt GTIG durch seinen längeren Beobachtungszeitraum: Zunächst wurde Coruna bei einem Kunden eines kommerziellen Überwachungsanbieters gesichtet, anschließend in Watering-Hole-Angriffen der mutmaßlich russischen staatlich gestützten Spionagegruppe UNC6353 gegen ukrainische Nutzer und später in einer breiteren Kampagne der finanziell motivierten, aus China operierenden kriminellen Gruppe UNC6691.

Gegen die neuesten iOS-Versionen ist Coruna nicht wirksam. Wer nicht aktualisieren kann, sollte den Sperrmodus (Lockdown Mode) aktivieren. Die GTIG-Codeanalyse ergab zudem, dass sich das Kit von einem Gerät zurückzieht, sobald der Sperrmodus aktiv ist oder der Nutzer privat surft.

Während Coruna als Überwachungswerkzeug begann, war es zu dem Zeitpunkt, als es die chinesische Gruppe erreichte, stark auf den Diebstahl von Finanzdaten und Bitcoin-Wallets ausgerichtet. Gegen Ende 2025 fand GTIG das JavaScript-Framework von Coruna auf gefälschten chinesischen Websites. Eine nachgeahmte Seite der Kryptobörse WEEX etwa versucht, Besucher ohne iOS-Gerät dazu zu bewegen, mit einem iPhone oder iPad zurückzukehren.

Dieses Vorgehen verfolgt zwei Ziele: Der Besuch einer Kryptobörse deutet auf den möglichen Besitz von Krypto-Wallets hin, während der Zugriff mit einem iOS-Gerät über ein verstecktes iFrame zur sofortigen Auslieferung des Exploit-Kits führt. Auf diesem Weg konnte GTIG alle verschleierten Exploits samt der abschließenden Payloads abrufen. Die Forscher stießen außerdem auf eine Debug-Version, die sämtliche Exploits im Klartext und ihre internen Codenamen enthielt – darüber kam der interne Name Coruna ans Licht.

iVerify entdeckte im Februar dieses Jahres ebenfalls eine verdächtige Website (mxbc-v2[.]tjbjdod[.]cn) und fand dort eine Seite, die ein Bündel von Exploits bereitstellte. Nach Angaben des Unternehmens besteht die abgerufene 1-Klick-Exploit-Kette aus einer Remote Code Execution (RCE) in Safari und einem Local-Privilege-Escalation-Exploit (LPE), mit dem Angreifer die Kontrolle über infizierte Geräte übernehmen können. iVerify nannte das Kit zunächst CryptoWaters, da es Module gegen Kryptowährungs-Wallets enthielt und als Watering-Hole-Angriff ausgespielt wurde – dieselbe Methode, die die russischen Akteure gegen ukrainische Nutzer einsetzten. Die von GTIG entdeckte gefälschte WEEX-Seite war wahrscheinlich eine dieser Watering-Hole-Seiten, das Kit zielt nun jedoch nicht mehr auf Ukrainer, sondern auf jeden iOS-Nutzer.

Beide Unternehmen setzen ihre Analyse fort und wollen künftig weitere Details veröffentlichen. Ihre Berichte enthalten jeweils umfangreiche, unterschiedliche Listen von Kompromittierungsindikatoren (IOCs).