🔍 Contexte

PubliĂ© le 21 mars 2026 sur SecurityAffairs, cet article synthĂ©tise les alertes d’Apple et les recherches de Google GTIG et Lookout Threat Labs concernant deux kits d’exploitation iOS actifs : Coruna (alias CryptoWaters) et DarkSword.

🧰 Kit Coruna (alias CryptoWaters)

IdentifiĂ© initialement en fĂ©vrier 2025 par Google GTIG, Coruna cible les iPhones sous iOS 13.0 Ă  17.2.1. Il comprend 5 chaĂźnes d’exploitation complĂštes et 23 exploits individuels couvrant :

  • Des vulnĂ©rabilitĂ©s WebContent R/W (CVE-2021-30952, CVE-2022-48503, CVE-2023-43000, CVE-2024-23222)
  • Des bypasses PAC WebContent (sans CVE pour plusieurs)
  • Des sandbox escapes WebContent (CVE-2023-32409)
  • Des Ă©lĂ©vations de privilĂšges (CVE-2020-27932, CVE-2020-27950, CVE-2023-32434, CVE-2023-41974)
  • Des bypasses PPL (CVE-2023-38606, CVE-2024-23225, CVE-2024-23296)

Le framework utilise du fingerprinting pour dĂ©tecter le type d’appareil et la version iOS, charge les exploits WebKit RCE appropriĂ©s, et dĂ©ploie des payloads chiffrĂ©s dĂ©guisĂ©s en fichiers .min.js. Le stager final PlasmaLoader injecte dans un daemon root et dĂ©ploie un payload financier ciblant les wallets crypto, phrases de rĂ©cupĂ©ration et donnĂ©es bancaires. Il utilise un algorithme de gĂ©nĂ©ration de domaines (DGA) seedĂ© avec le mot « lazarus ».

Coruna a été utilisé par :

  • Un client d’un vendeur de surveillance (attaques ciblĂ©es)
  • UNC6353 (campagnes watering hole ukrainiennes)
  • UNC6691 (acteur financier chinois, attaques Ă  grande Ă©chelle via faux sites financiers/crypto)

⚔ Kit DarkSword

Découvert fin 2025 par Lookout, iVerify et Google, DarkSword cible les iPhones sous iOS 18.4 à 18.7 et exploite 6 vulnérabilités, dont 3 zero-days :

  • CVE-2025-31277 – Corruption mĂ©moire JavaScriptCore (CVSS 8.8)
  • CVE-2026-20700 – Bypass PAC dyld (CVSS 8.6) (zero-day)
  • CVE-2025-43529 – Corruption mĂ©moire JavaScriptCore (CVSS 8.8) (zero-day)
  • CVE-2025-14174 – Corruption mĂ©moire ANGLE (CVSS 8.8) (zero-day)
  • CVE-2025-43510 – ProblĂšme mĂ©moire kernel iOS (CVSS 8.6)
  • CVE-2025-43520 – Corruption mĂ©moire kernel iOS (CVSS 8.6)

DarkSword adopte une approche « hit-and-run » : exfiltration rapide de credentials et donnĂ©es de wallets crypto en quelques secondes/minutes, suivie d’un nettoyage des traces. Il est attribuĂ© Ă  UNC6353, groupe suspectĂ© d’ĂȘtre alignĂ© avec la Russie, actif dans des attaques watering hole sur des sites ukrainiens (y compris gouvernementaux).

🌍 GĂ©ographie et prolifĂ©ration

Des campagnes ont Ă©tĂ© observĂ©es ciblant l’Ukraine, l’Arabie Saoudite, la Turquie et la Malaisie. Google GTIG a dĂ©tectĂ© plusieurs acteurs utilisant DarkSword depuis novembre 2025, illustrant la prolifĂ©ration des exploits avancĂ©s sur un marchĂ© secondaire.

📋 RĂ©ponse d’Apple

Apple a publiĂ© des mises Ă  jour le 11 mars 2026 pour Ă©tendre la protection aux appareils iOS 15 et 16. Le mode Lockdown bloque ces attaques mĂȘme sur les anciens systĂšmes. Safari Safe Browsing bloque les domaines malveillants connus.

📌 Type d’article

Article de presse spĂ©cialisĂ©e synthĂ©tisant plusieurs rapports de recherche (Google GTIG, Lookout) et une alerte officielle Apple, visant Ă  informer sur deux kits d’exploitation iOS actifs et leur prolifĂ©ration entre acteurs malveillants.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • UNC6353 (state-sponsored)
  • UNC6691 (cybercriminal)

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1005 — Data from Local System (Collection)
  • T1083 — File and Directory Discovery (Discovery)

IOC

  • URLs : https://support.apple.com/en-us/126776
  • URLs : https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit
  • URLs : https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
  • URLs : https://www.lookout.com/threat-intelligence/article/darksword
  • CVEs : CVE-2021-30952
  • CVEs : CVE-2022-48503
  • CVEs : CVE-2023-43000
  • CVEs : CVE-2024-23222
  • CVEs : CVE-2023-32409
  • CVEs : CVE-2020-27932
  • CVEs : CVE-2020-27950
  • CVEs : CVE-2023-32434
  • CVEs : CVE-2023-41974
  • CVEs : CVE-2023-38606
  • CVEs : CVE-2024-23225
  • CVEs : CVE-2024-23296
  • CVEs : CVE-2025-31277
  • CVEs : CVE-2026-20700
  • CVEs : CVE-2025-43529
  • CVEs : CVE-2025-14174
  • CVEs : CVE-2025-43510
  • CVEs : CVE-2025-43520
  • Fichiers : rce_loader.js

Malware / Outils

  • Coruna (framework)
  • CryptoWaters (framework)
  • DarkSword (framework)
  • PlasmaLoader (loader)
  • IronLoader (loader)
  • NeuronLoader (loader)

🔗 Source originale : https://securityaffairs.com/189716/security/apple-urges-iphone-users-to-update-as-coruna-and-darksword-exploit-kits-emerge.html

🖮 Archive : https://web.archive.org/web/20260321221602/https://securityaffairs.com/189716/security/apple-urges-iphone-users-to-update-as-coruna-and-darksword-exploit-kits-emerge.html