Coruna gilt als Spionagewerkzeug der Spitzenklasse. Laut Rocky Cole von iVerify, das beide Kits untersucht hat, wurde die zugrunde liegende Schadsoftware wahrscheinlich von einem US-Militärauftragnehmer entwickelt und über Zero-Day-Broker auf den Sekundärmarkt weitergereicht, von wo aus sie zu russischen Staatsakteuren gelangte. L3Harris reagierte gegenüber Dark Reading zunächst nicht auf eine Anfrage. DarkSword stamme vermutlich aus der Golfregion; möglicherweise habe die entwickelnde Firma das Werkzeug nach ihrem Aus abgestoßen, um einen Teil der Investitionen zu retten.
Der als UNC6353 geführte Akteur setzt beide Werkzeuge in der Ukraine bei Watering-Hole-Angriffen ein – gegen kommerzielle Ziele wie Industrie- und Einzelhandelsanbieter sowie gegen kriegsrelevante Ziele, darunter lokale Dienste und eine Nachrichtenagentur in der umkämpften Donbas-Region. DarkSword wurde den Forschern zufolge von mehreren Überwachungsfirmen und mutmaßlich staatlich unterstützten Akteuren gegen Ziele unter anderem in Saudi-Arabien, der Türkei, Malaysia und der Ukraine verwendet.
Den Ursprung legte Kaspersky Anfang 2023 frei, als das Unternehmen auffälliges Verhalten auf den Geräten eigener Mitarbeiter bemerkte. Daraus wurde Operation Triangulation, eine über vier Jahre laufende Spionageoperation, die Tausende Personen in Russland betraf, darunter ranghohe Kaspersky-Beschäftigte sowie diplomatische Vertretungen und Botschaften. Russlands Inlandsgeheimdienst FSB schrieb den Angriff der US-amerikanischen NSA zu und warf Apple eine Mitwirkung vor. iVerify fand nun Überschneidungen zwischen der in Operation Triangulation eingesetzten Schadsoftware und dem neu entdeckten Coruna. Kaspersky, das die Überlappungen zunächst abtat, betrachtet Coruna nach weiterer Analyse ebenfalls als Ableger der Operation. Inzwischen seien vier neue iOS-Kernel-Exploits hinzugekommen, sodass insgesamt fünf Exploit-Ketten über 23 CVEs entstanden seien.
Verschiedene Akteure passen die Werkzeuge an. Justin Albrecht, leitender Forscher bei Lookout, erklärt, der wesentliche Unterschied zu anderer hochwertiger iOS-Spyware bestehe darin, dass eine unbekannte Partei Code für Finanzdiebstahl und Kryptowährungsdiebstahl ergänzt habe. Laut Google Threat Intelligence platzierte UNC6353 Coruna in unsichtbaren iframes auf kompromittierten ukrainischen Websites, während chinesische Akteure – als UNC6691 geführt – die geografischen Beschränkungen entfernten und das Kit breit über Krypto-Betrugsseiten verteilten, ausgestattet mit einer auf Kryptodiebstahl zugeschnittenen Nutzlast. Google äußerte sich nicht zur Urheberschaft und hält es für sehr wahrscheinlich, dass sowohl Coruna als auch DarkSword erworben und anschließend für Finanzdiebstahl und Spionage umgebaut wurden.
Albrecht verweist auf Russlands dokumentierten Einsatz krimineller Stellvertretergruppen, etwa die Partnerschaft zwischen RomCom und Trickbot, die einem modernen Kaperbrief-Modell gleiche. Cole beziffert die Entwicklung eines Werkzeugs wie Coruna mit 23 Schwachstellen über fünf Ketten auf etwa 30 bis 40 Millionen US-Dollar.
Apple hat die ausgenutzten Schwachstellen in den jüngsten iOS-Versionen geschlossen. Cole warnt jedoch, dass DarkSword weiterhin unter iOS 18 funktioniere, das noch 25 Prozent der iOS-Nutzer einsetzten, und über GitHub frei zugänglich sei. Das Werkzeug greife auf den Schlüsselbund zu und stehle Passwörter; man habe beobachtet, wie es zur Anmeldung an Unternehmenssystemen genutzt wurde. Albrecht rät Führungskräften, in fortgeschrittene Schutz- und Sichtbarkeitslösungen für Mobilgeräte zu investieren, da solche Schadsoftware binnen Minuten ganze Schlüsselbünde und Zugangsdaten abziehe und Angreifern damit auch seitliche Bewegung im Firmennetz ermögliche.
