Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaînes complètes et 23 exploits couvrant iOS 13.0 à 17.2.1. Observé en 2025, il a d’abord été employé par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage présumé russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’être récupéré et déployé massivement par UNC6691 (acteur financier basé en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la dernière version d’iOS, et GTIG a ajouté les domaines malveillants à Safe Browsing.

Le framework JavaScript de Coruna est soigné et modulaire : empreinte le terminal (modèle/versions), choisit un RCE WebKit et un contournement PAC, se retire en Lockdown Mode ou navigation privée, et calcule les URLs de ressources via un cookie et sha256(COOKIE + ID)[:40]. Les RCE/PAC arrivent en clair, mais les charges binaires (servies en .min.js) sont chiffrées en ChaCha20, dans un format custom (header 0xf00dbeef) et compressées LZW. Une fuite d’une version « debug » a révélé le nom interne du kit, “Coruna”.

Côté vulnérabilités, GTIG a récupéré des RCE WebKit incluant CVE-2024-23222 (zéro‑day corrigé en iOS 17.3), CVE-2022-48503 et CVE-2023-43000. Les chaînes référencent des codenames pour les R/W WebContent (buffout, jacurutu, bluebird, terrorbird, cassowary), des contournements PAC (breezy, breezy15, seedbell et variantes 16.x/17.x), des évasions sandbox (IronLoader ≤A12, NeuronLoader A13–A16), des exploits kernel/PE (Neutron, Dynamo, Pendulum, Photon, Parallax, Gruber) et des bypasses PPL (Quark, Gallium, Carbone, Sparrow, Rocket). Certains modules (ex. Photon, Gallium) recoupent des failles vues en Operation Triangulation (Kaspersky, 2023). Le kit embarque des briques réutilisables (ex. rwx_allocator) et des techniques de bypass de PAC kernel.

Le payload final, un stager nommé PlasmaLoader / PLASMAGRID (identifié comme com.apple.assistd), s’injecte dans powerd (root). Il se distingue par des finalités financières plutôt que d’espionnage : lecture de QR codes, détection de phrases BIP39 et mots‑clés tels que “backup phrase”/“bank account” dans Apple Memos, et chargement de modules additionnels à la demande (configuration JSON servie depuis /details/show.html, archives 7‑Zip protégées par mot de passe). Les modules posent des hooks pour exfiltrer des données depuis des applications de portefeuilles crypto (ex. MetaMask, Trust, Phantom, Exodus, Uniswap, BitKeep, etc.), avec des logs en chinois et des commentaires parfois au style LLM. Les communications passent en HTTPS, données chiffrées en AES (clé dérivée via SHA‑256 d’une chaîne statique), en-têtes additionnels (ex. sdkv, x-ts), C2 codés en dur et DGA (graine “lazarus”, domaines .xyz, validation via DNS public de Google).

IOCs et TTPs (extraits) 🧩

  • IOCs réseau (livraison du kit)
    • UNC6353 : http://cdn.uacounter[.]com/stat[.]html
    • UNC6691 (exemples) : https://ai-scorepredict[.]com/static/analytics[.]html, https://3v5w1km5gv[.]xyz/group[.]html, https://goanalytics[.]xyz/88k4ez/group[.]html, https://7p[.]game/group[.]html, https://i[.]binaner[.]com/group[.]html
  • C2 PLASMAGRID (exemples) : vvri8ocl4t3k8n6[.]xyz, rlau616jc7a7f7i[.]xyz, 6zvjeulzaw5c0mv[.]xyz, v2gmupm7o4zihc3[.]xyz, xfal48cf0ies7ew[.]xyz
  • Identifiants/artefacts
    • Implant/stager : bundleId com.apple.assistd (PLASMAGRID/PlasmaLoader)
    • Modules ciblant wallets (exemples) : io.metamask.MetaMask, com.sixdays.trust, app.phantom, exodus-movement.exodus, com.uniswap.mobile, com.bitkeep.os
    • Règles YARA (exemples) : G_Hunting_Exploit_MapJoinEncoder_1, G_Backdoor_PLASMAGRID_Strings_1
  • TTPs clés
    • Watering hole via iFrames cachés sur sites compromis; faux sites crypto incitant l’accès depuis iOS
    • Fingerprinting précis, sélectivité géographique, RCE WebKit + contournement PAC + évasion sandbox + exploits kernel + bypass PPL
    • Payload modulaire, hooking d’apps wallets, exfiltration chiffrée, DGA .xyz “lazarus”
    • Chaînes et blobs : ChaCha20, LZW, format custom (0xf00dbeef), sha256(COOKIE+ID) pour URLs, bail‑out en Lockdown Mode/navigation privée

Article de type publication de recherche détaillant une analyse technique de menace et partageant indicateurs et composants pour la défense.

🧠 TTPs et IOCs détectés

TTP

Watering hole via iFrames cachés sur sites compromis; faux sites crypto incitant l’accès depuis iOS; Fingerprinting précis, sélectivité géographique, RCE WebKit + contournement PAC + évasion sandbox + exploits kernel + bypass PPL; Payload modulaire, hooking d’apps wallets, exfiltration chiffrée, DGA .xyz ’lazarus’; Chaînes et blobs : ChaCha20, LZW, format custom (0xf00dbeef), sha256(COOKIE+ID) pour URLs, bail‑out en Lockdown Mode/navigation privée

IOC

http://cdn.uacounter[.]com/stat[.]html, https://ai-scorepredict[.]com/static/analytics[.]html, https://3v5w1km5gv[.]xyz/group[.]html, https://goanalytics[.]xyz/88k4ez/group[.]html, https://7p[.]game/group[.]html, https://i[.]binaner[.]com/group[.]html, vvri8ocl4t3k8n6[.]xyz, rlau616jc7a7f7i[.]xyz, 6zvjeulzaw5c0mv[.]xyz, v2gmupm7o4zihc3[.]xyz, xfal48cf0ies7ew[.]xyz

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit?hl=en