Фахівці Google Threat Intelligence Group повідомили про виявлення набору експлойтів для смартфонів Apple iPhone під назвою Coruna. За даними дослідників, інструменти використовувалися у кібератаках проти користувачів з України, а також у кампаніях, пов’язаних із криптовалютним шахрайством.
Аналітики зазначили, що набір орієнтований на пристрої Apple iPhone, які працюють на операційній системі iOSверсій від 13.0 до 17.2.1. Coruna містить п’ять повноцінних ланцюжків атак і загалом 23 різні експлойти, які дозволяють зловмисникам використовувати вразливості системи.
За словами дослідників, технічна цінність цього набору полягає у великій кількості інструментів експлуатації. Деякі з них здатні обходити вбудовані механізми безпеки операційної системи та забезпечувати доступ до пристрою жертви.
Атаки проти користувачів з України
У Google повідомили, що протягом 2025 року відстежували кілька кампаній із використанням Coruna. Спочатку інструмент застосовувався клієнтом компанії, яка спеціалізується на розробці обладнання для спостереження.
Пізніше експерти зафіксували застосування цього набору в атаках типу watering hole, спрямованих на українських користувачів. У межах такої тактики зловмисники заражають популярні сайти, які часто відвідує певна група людей, і використовують їх для поширення шкідливого коду.
За даними аналітиків, операцію могла проводити хакерська група UNC6353. У Google припускають, що вона може бути пов’язана з російськими шпигунськими структурами.
Використання у криптовалютних схемах
Окрему увагу дослідники звернули на використання експлойтів у кампаніях, пов’язаних із криптовалютами. У лютому 2025 року аналітики перехопили частину інструментів Coruna, інтегрованих у невідомий JavaScript-фреймворк зі складною системою обфускації коду.
Згодом цей код виявили на великій кількості підроблених китайських сайтів фінансової тематики. Деякі з них маскувалися під криптовалютні платформи, зокрема під біржу WEEX.
На таких сторінках з’являлося спливаюче вікно, яке перенаправляло користувачів на ресурси зі шкідливими скриптами. Вони використовували вразливості системи для запуску експлойтів і отримання доступу до пристроїв.
У Google Threat Intelligence Group підкреслили, що поєднання шпигунських інструментів, складних ланцюжків атак і використання підроблених криптосайтів робить Coruna одним із найбільш комплексних наборів експлойтів, спрямованих на користувачів Apple iPhone за останні роки.
