5. März 2026
Google gab die Identifizierung eines „neuen und leistungsstarken“ Exploit-Kits namens Coruna (auch bekannt als CryptoWaters) bekannt, das Apple iPhones mit iOS-Versionen zwischen 13.0 und 17.2.1 angreift.
Das Exploit-Kit umfasst fünf vollständige iOS-Exploit-Ketten und insgesamt 23 Exploits, so die Google Threat Intelligence Group (GTIG). Es ist gegen die neueste iOS-Version nicht wirksam. Die Ergebnisse wurden zuerst von WIRED veröffentlicht.
„Der technische Kern dieses Exploit-Kits liegt in seiner umfassenden Sammlung von iOS-Exploits, wobei die fortschrittlichsten nicht-öffentliche Exploitationstechniken und Umgehungen von Sicherheitsvorkehrungen nutzen“, so die GTIG. „Das Framework des Exploit-Kits ist äusserst ausgefeilt; die Exploit-Komponenten sind nahtlos miteinander verbunden und werden mithilfe gängiger Utility- und Exploitation-Frameworks kombiniert.“
Das Kit soll seit Februar 2025 unter verschiedenen Angreifern kursieren und sich von einem kommerziellen Überwachungsunternehmen über einen staatlich unterstützten Angreifer bis hin zu einem finanziell motivierten, in China operierenden Akteur im Dezember entwickelt haben.
Es ist derzeit nicht bekannt, wie das Exploit-Kit in die Hände gelangte, doch die Ergebnisse deuten auf einen aktiven Markt für gebrauchte Zero-Day-Exploits hin, der es anderen Angreifern ermöglicht, diese für ihre eigenen Zwecke zu nutzen. In einem zugehörigen Bericht erklärte iVerify, das Exploit-Kit weise Ähnlichkeiten mit früheren Frameworks auf, die von Angreifern mit Verbindungen zur US-Regierung entwickelt wurden.
Details
„Coruna ist eines der bedeutendsten Beispiele dafür, wie hochentwickelte Spyware-Funktionen von Anbietern kommerzieller Überwachungssoftware in die Hände staatlicher Akteure gelangen und letztendlich zu gross angelegten kriminellen Operationen führen“, so iVerify.
Der Anbieter mobiler Sicherheitslösungen gab an, die Verwendung des hochentwickelten Exploit-Frameworks markiere die erste beobachtete Massenausnutzung gegen iOS-Geräte. Dies deute darauf hin, dass sich Spyware-Angriffe von hochgradig zielgerichteten zu breit angelegten Angriffen verlagern.
Google gab an, Anfang letzten Jahres erstmals Teile einer iOS-Exploit-Kette erfasst zu haben, die von einem Kunden eines nicht genannten Überwachungsunternehmens verwendet wurde. Die Exploits waren in ein bisher unbekanntes JavaScript-Framework integriert. Das Framework dient dazu, das Gerät anhand eines Fingerabdrucks zu identifizieren, seine Echtheit festzustellen und Details wie das genaue iPhone-Modell und die installierte iOS-Version zu erfassen.
Anschliessend lädt das Framework basierend auf den Fingerabdruckdaten den passenden WebKit-Exploit zur Remote-Codeausführung (RCE) und führt anschliessend eine Umgehung des Pointer Authentication Code (PAC) durch. Der betreffende Exploit bezieht sich auf CVE-2024-23222, einen Typverwechslungsfehler in WebKit, der von Apple im Januar 2024 mit iOS 17.3 und iPadOS 17.3 sowie iOS 16.7.5 und iPadOS 16.7.5 behoben wurde.
Im Juli 2025 wurde dasselbe JavaScript-Framework auf der Domain „cdn.uacounter[.]com“ entdeckt. Es wurde als versteckter iFrame auf kompromittierten ukrainischen Websites geladen. Betroffen waren unter anderem Websites für Industrieausrüstung, Werkzeuge für den Einzelhandel, lokale Dienstleistungen und E-Commerce. Die mutmassliche russische Spionagegruppe UNC6353 wird für die Kampagne verantwortlich gemacht.
Bemerkenswert war, dass das Framework nur bestimmten iPhone-Nutzern in einer bestimmten Region zur Verfügung gestellt wurde. Die im Framework ausgenutzten Sicherheitslücken umfassten CVE-2024-23222, CVE-2022-48503 und CVE-2023-43000, wobei letztere eine Use-After-Free-Schwachstelle in WebKit darstellt.
Es ist erwähnenswert, dass Apple CVE-2023-43000 in iOS 16.6 und iPadOS 16.6, veröffentlicht im Juli 2023, behoben hat. Die Sicherheitshinweise wurden jedoch erst am 11. November 2025 aktualisiert und enthielten einen Eintrag zu dieser Schwachstelle.
Das JavaScript-Framework wurde im Dezember 2025 zum dritten Mal in freier Wildbahn entdeckt. Eine Gruppe gefälschter chinesischer Websites, die grösstenteils mit dem Finanzsektor in Verbindung stehen, schleuste das iOS-Exploit-Kit ein, nachdem sie Nutzer aufgefordert hatten, die Websites für eine bessere Benutzererfahrung mit einem iPhone oder iPad zu besuchen. Diese Aktivität wird einem Bedrohungscluster mit der Kennung UNC6691 zugeordnet.
Sobald diese Websites über ein iOS-Gerät aufgerufen werden, wird ein versteckter iFrame eingeschleust, der das Coruna-Exploit-Kit mit CVE-2024-23222 ausliefert. Die Auslieferung des Exploits war in diesem Fall nicht an geografische Kriterien gebunden.
Die weitere Analyse der Infrastruktur des Angreifers führte zur Entdeckung einer Debug-Version des Exploit-Kits sowie verschiedener Beispiele, die fünf vollständige iOS-Exploit-Ketten abdecken. Insgesamt wurden 23 Exploits identifiziert, die iOS-Versionen von 13 bis 17.2.1 betreffen.
Was ist betroffen?
Einige der vom Kit ausgenutzten CVEs und die entsprechenden betroffenen iOS-Versionen sind unten aufgeführt:
- Neutron – CVE-2020-27932 (Versionen 13.x)
- Dynamo – CVE-2020-27950 (Versionen 13.x)
- buffout – CVE-2021-30952 (Versionen 13 → 15.1.1)
- jacurutu – CVE-2022-48503 (Versionen 15.2 → 15.5)
- IronLoader – CVE-2023-32409 (Versionen 16.0 → 16.3.116.4.0)
- Photon – CVE-2023-32434 (Versionen 14.5 → 15.7.6)
- Gallium – CVE-2023-38606 (Versionen 14.x)
- Parallax – CVE-2023-41974 (Versionen 16.4 → 16.7)
- Terrorbird – CVE-2023-43000 (Versionen 16.2 → 16.5.1)
- Cassowary – CVE-2024-23222 (Versionen 16.6 → 17.2.1)
- Sparrow – CVE-2024-23225 (Versionen 17.0 → 17.3)
- Rocket – CVE-2024-23296 (Versionen 17.1 → 17.4)
„Photon und Gallium nutzen Schwachstellen aus, die auch im Rahmen der Operation Triangulation als Zero-Day-Exploits eingesetzt wurden“, so Google. „Das Coruna Exploit Kit enthält zudem wiederverwendbare Module, um die Ausnutzung der genannten Schwachstellen zu vereinfachen.“
Im Juni 2023 behauptete die russische Regierung, die Kampagne sei das Werk der US-amerikanischen National Security Agency (NSA) und beschuldigte diese, im Rahmen einer „Aufklärungsoperation“ mehrere tausend Apple-Geräte inländischer Nutzer und ausländischer Diplomaten gehackt zu haben.
UNC6691 wurde dabei beobachtet, wie er den Exploit nutzte, um eine Stager-Datei mit dem Codenamen PlasmaLoader (auch bekannt als PLASMAGRID) einzuschleusen. Diese Datei ist darauf ausgelegt, QR-Codes aus Bildern zu dekodieren und zusätzliche Module von einem externen Server auszuführen. Dadurch kann sie Kryptowährungs-Wallets oder sensible Daten aus verschiedenen Apps wie Base, Bitget Wallet, Exodus und MetaMask stehlen.
„Das Implantat enthält eine Liste fest codierter C2-Server, verfügt aber über einen Ausweichmechanismus für den Fall, dass die Server nicht antworten“, fügte GTIG hinzu. „Das Implantat bettet einen benutzerdefinierten Domain-Generierungsalgorithmus (DGA) ein, der die Zeichenkette ‚lazarus‘ als Startwert verwendet, um eine Liste vorhersagbarer Domains zu generieren. Die Domains sind 15 Zeichen lang und verwenden die Top-Level-Domain .xyz. Die Angreifer verwenden Googles öffentlichen DNS-Resolver, um zu überprüfen, ob die Domains aktiv sind.“
Ein bemerkenswerter Aspekt von Coruna ist, dass es auf Geräten im Sperrmodus oder im privaten Browsermodus nicht ausgeführt wird. Um sich vor dieser Bedrohung zu schützen, wird iPhone-Nutzern empfohlen, ihre Geräte auf dem neuesten Stand zu halten und den Sperrmodus für erhöhte Sicherheit zu aktivieren.
Quelle: The Hacker News
