Die Geschichte von Coruna beginnt 2023, als Kaspersky beim Überwachen eigener Systeme verdächtige Aktivitäten bemerkte. Dies war der erste Hinweis auf „Operation Triangulation”, eine vierjährige Spionagekampagne gegen hochrangige Kaspersky-Mitarbeiter, diplomatische Missionen und Botschaften in Russland. Russland machte die NSA verantwortlich und warf sogar Apple Kollaborationen vor.
Jetzt zeigt sich: Die in dieser Operation eingesetzte Malware ist direkter Vorläufer von Coruna. Forscher von iVerify fanden unmissverständliche Übereinstimmungen. Das Toolkit wurde inzwischen um vier weitere iOS-Kernel-Exploits erweitert und verfügt über insgesamt fünf Exploit-Ketten, die 23 verschiedene CVEs abdecken. Rocky Cole, Co-Gründer von iVerify, vermutet, dass Coruna ursprünglich vom US-Rüstungsunternehmen L3Harris entwickelt wurde. DarkSword hingegen stammt vermutlich aus der Golfregion, möglicherweise von der aufgelösten Firma DarkMatter Group.
Vom Geheimdienst zum Schwarzmarkt
Beiden Toolkits gelang der Sprung auf den Sekundärmarkt für Exploits. Russische Akteure wie UNC6353 nutzen Coruna mittlerweile in Watering-Hole-Angriffen gegen ukrainische Ziele – Industrieunternehmen, Einzelhandelsanbieter und lokale Dienste. Chinesische Bedrohungsakteure (UNC6691) haben die Geo-Beschränkungen entfernt und das Kit großflächig auf Krypto-Betrugsseiten verteilt.
Besonders bemerkenswert: Unbekannte Parteien haben beiden Toolkits Funktionen für Finanzdiebstahl und Kryptowährungsraub hinzugefügt. Justin Albrecht, Principal Researcher bei Lookout, warnt: Diese erweiterten Fähigkeiten transformieren die Tools zu vielseitigen Waffen.
Die GitHub-Bombe
Mit der GitHub-Veröffentlichung von DarkSword tritt die Krise in eine neue Phase. Das Kit funktioniert auch in iOS 18 – und 25 Prozent aller iOS-Nutzer verwenden noch diese Version. DarkSword greift auf Keychains zu und stiehlt Passwörter, mit denen Angreifer sich in Unternehmensnetze einloggen können.
Für deutsche Unternehmen bedeutet dies konkret: Mitarbeiter mit älteren iPhones stellen plötzlich ein erhebliches Sicherheitsrisiko dar. Eine einzelne nicht aktualisierte App oder ein obsoletes Gerät ermöglicht Angreifern den Zugriff auf sämtliche Unternehmensanmeldedaten und Wi-Fi-Passwörter. Ein Entwicklungsaufwand von geschätzten 30 bis 40 Millionen Dollar ist damit frei verfügbar.
Was Unternehmen tun müssen
Experten raten zu sofortigen Maßnahmen: Erweiterter Schutz für mobile Geräte, Sichtbarkeit in iOS-Netzwerken und strikte Updatepolitiken. Cole warnt: Ohne Kontrolle von Mobilgeräten ist der beste Perimeter-Schutz wertlos. Die Demokratisierung von Staatsspyware-Tools ist keine theoretische Bedrohung mehr – sie ist Realität.