Google Threat Intelligence Group (GTIG) повідомила про Coruna — потужний exploit kit для iPhone, який атакує пристрої з iOS 13.0-17.2.1 і містить п’ять ланцюгів експлойтів та 23 уразливості. За даними дослідників, упродовж 2025 року цей інструментарій встиг побувати в руках різних зловмисників — від точкових операцій до масових кампаній.

Про це йдеться у дослідженні GTIG.

Як Coruna поширювали та проти кого застосовували

У GTIG описують Coruna як комплексний набір експлуатації вразливостей iOS, де найбільш просунуті елементи використовують непублічні техніки та обхід захистів. Дослідники зафіксували, що спершу Coruna застосовувався в «високоточних» операціях клієнтом компанії з ринку стеження, згодом з’явився у watering hole-атаках проти українських користувачів, а пізніше — у масштабніших кампаніях фінансово мотивованого угруповання, яке GTIG пов’язує з Китаєм.

Окремо GTIG описує епізод із компрометацією українських сайтів: шкідливий JavaScript-фреймворк розміщували на домені cdn.uacounter[.]com і підвантажували як прихований iFrame на зламаних ресурсах — від сайтів локальних сервісів до e-commerce. Доставка експлойтів відбувалася вибірково для iPhone з певної геолокації.

Наприкінці 2025 року, за даними Google, той самий фреймворк з’явився на великій кількості фейкових китайських сайтів, зокрема пов’язаних із «фінансовою» тематикою, де експлойт-ланцюги віддавалися iOS-пристроям уже без географічних обмежень. Один із прикладів — сторінки, що імітували криптосервіси й намагалися заманити користувачів перейти на сайт з iPhone.

Корисне навантаження підбиралося під конкретну модель iPhone та версію iOS: фреймворк збирав дані для ідентифікації пристрою, після чого завантажував відповідний WebKit-експлойт для RCE та байпас механізмів.

Окремий інтерес для дослідників становила «відладочна» збірка: в одному з випадків зловмисники розгорнули debug-версію, де експлойти залишилися не прихованими, разом із внутрішніми кодовими назвами. Саме тоді команда дійшла висновку, що комплект імовірно мав внутрішню назву Coruna.

Источник: texno.novyny.live