Исследователи обнаружили мощный набор инструментов для взлома iPhone под названием Coruna, который позволяет атаковать устройства Apple с iOS от 13.0 до 17.2.1 и извлекать конфиденциальные данные. По данным Google Threat Intelligence Group, это одна из самых насыщенных библиотек эксплойтов для iOS: в неё входят 5 полных цепочек атак и 23 уязвимости, часть из которых использует ранее не встречавшиеся методы обхода защитных механизмов.
Первые следы Coruna зафиксировали в начале 2025 года у клиента поставщика систем видеонаблюдения, позже инструментарий применялся в точечных атаках против пользователей из Украины, предположительно группой UNC6353. К концу 2025 года тот же набор использовала уже финансово мотивированная группировка UNC6691 из Китая в более масштабных кампаниях через поддельные финансовые и криптовалютные сайты, которые при открытии страницы незаметно загружали эксплойты через скрытый фрейм.
Coruna работает по принципу интеллектуального подбора атак: код определяет модель iPhone и версию iOS, после чего выбирает подходящую цепочку эксплойтов. После проникновения через браузер запускается бинарный загрузчик, устанавливающий PlasmaLoader в системный процесс. Вредоносная нагрузка ориентирована на кражу финансовых данных: анализируются изображения на предмет QR-кодов и текстовые файлы в поисках фраз восстановления криптокошельков, «резервной фразы», «банковского счета» и т.п., после чего найденные данные отправляются на сервер атакующих.
Исследователи отмечают, что современные версии iOS уже закрывают многие уязвимости, которые использует Coruna, в том числе в компоненте WebKit, активно задействованном злоумышленниками.