IOS

Google Threat Intelligence Group alerte sur DarkSword, un toolkit proposant une chaîne d’exploits complète pour compromettre des appareils iOS via plusieurs vulnérabilités, dont des zero-days, utilisé pour le cyberspionnage et des activités criminelles. Selon Securityinfo.it, Google Threat Intelligence Group (une unité de Google Cloud dédiée à la cybersécurité) a publié un billet de blog alertant sur « DarkSword », un toolkit proposant une chaîne d’exploits capable de compromettre entièrement des appareils iOS. ...

Source et contexte — nadsec.online (par NadSec) publie en mars 2026 une rétro‑ingénierie de 28 modules JavaScript du kit d’exploits iOS « Coruna », complémentaire aux rapports de Google Threat Intelligence Group et iVerify (03/03/2026). L’étude (6 630 lignes) reconstitue, depuis le JavaScript obfusqué, une chaîne complète visant iOS 16.0–17.2, détaillant 8 vulnérabilités (WebKit RCE, PAC bypass, JIT cage escape, sandbox escape), jusqu’au binaire kernel récupéré dans la nature. Principaux résultats techniques ...

Selon BleepingComputer, la CISA a ordonné aux agences fédérales américaines d’appliquer des correctifs à trois failles de sécurité affectant iOS. Ces vulnérabilités sont ciblées dans des attaques de cyberespionnage et de vol de cryptomonnaies, menées à l’aide du kit d’exploitation Coruna. CISA alerte sur des vulnérabilités iOS exploitées via le kit d’exploit Coruna Contexte L’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a ordonné aux agences fédérales de corriger trois vulnérabilités iOS activement exploitées dans des campagnes : ...

Source : Google Cloud Blog (Google Threat Intelligence Group), 3 mars 2026. GTIG documente “Coruna”, un kit d’exploits iOS d’un haut niveau technique, comprenant 5 chaînes complètes et 23 exploits couvrant iOS 13.0 à 17.2.1. Observé en 2025, il a d’abord été employé par un client d’un vendeur de surveillance, puis par UNC6353 (groupe d’espionnage présumé russe) dans des attaques par watering hole visant des utilisateurs ukrainiens, avant d’être récupéré et déployé massivement par UNC6691 (acteur financier basé en Chine) via de faux sites crypto. Le kit n’est pas efficace contre la dernière version d’iOS, et GTIG a ajouté les domaines malveillants à Safe Browsing. ...

Source: Jamf Threat Labs (19 février 2026). Contexte: publication d’une analyse technique d’un échantillon iOS de Predator (Intellexa/Cytrox) décrivant des mécanismes post‑compromis pour neutraliser les indicateurs d’enregistrement; il ne s’agit pas d’une nouvelle vulnérabilité ni d’un correctif, mais d’un éclairage destiné aux défenseurs. Jamf explique que depuis iOS 14, les pastilles vertes/oranges signalent l’usage de la caméra/micro. Contrairement à la technique « NoReboot » (2022) qui simulait une extinction complète, Predator garde l’iPhone pleinement opérationnel et supprime sélectivement les indicateurs d’enregistrement 🔴🟢, rendant la surveillance plus discrète. ...

Source: Jamf Threat Labs (blog Jamf). Contexte: publication du 14 janvier 2026 présentant des découvertes originales issues de l’ingénierie inverse d’un échantillon de Predator, en complément des travaux de Google Threat Intelligence Group (GTIG) de 2024. Jamf expose une architecture de surveillance anti-analyse centrée sur la classe C++ CSWatcherSpawner::CSWatcherSpawner et sa fonction check_perform(), avec un système de codes d’erreur (301–311) qui envoie au C2 un diagnostic précis avant auto-nettoyage. Plusieurs codes sont mis en évidence (p. ex. 311 pour multi‑instances, 309 pour restriction géographique, 310 pour console active, 304 pour outils de sécurité), tandis que 302, 303, 305, 306 sont absents dans cet échantillon. ...

Source: 39c3 — présentation par l’équipe Fuse Security. Le talk revient sur une attaque 0‑click in‑the‑wild visant WhatsApp sur appareils Apple et, par liens techniques, des appareils Samsung, en détaillant et en reproduisant la chaîne d’exploits autour de CVE‑2025‑55177, CVE‑2025‑43300 et CVE‑2025‑21043. • Contexte et chronologie. En août 2025, Apple corrige CVE‑2025‑43300, signalée comme exploitée in‑the‑wild dans une attaque « extrêmement sophistiquée ». Une semaine plus tard, WhatsApp publie un correctif pour CVE‑2025‑55177, également exploitée. Des éléments probants indiquent que ces failles ont été chaînées pour livrer un exploit via WhatsApp et voler des données d’appareils Apple, sans interaction utilisateur. En septembre, Samsung corrige CVE‑2025‑21043, une écriture OOB dans une bibliothèque de parsing d’images, confirmée exploitée. ...

Selon TechCrunch (Lorenzo Franceschi-Bicchierai, 21 octobre 2025), un ancien développeur d’exploits iOS chez Trenchant — filiale de L3Harris — a reçu une alerte d’Apple l’informant d’un ciblage par spyware mercenaire sur son iPhone personnel, peu après son licenciement. Le développeur (pseudonyme « Jay Gibson ») dit avoir reçu la notification le 5 mars et avoir immédiatement éteint l’appareil. Il pourrait s’agir du premier cas documenté d’un concepteur d’exploits/spyware lui-même visé par un spyware. Apple n’a pas commenté. ...

Source: GitHub (b1n4r1b01). Contexte: billet technique décrivant une vulnérabilité CoreMedia/MediaToolbox sur iOS, avec analyse de correctif, preuve de concept et mise en perspective « in the wild ». L’auteur localise la faille dans le sous-système Remaker de MediaToolbox.framework, due à une mauvaise gestion de l’objet FigRemakerTrack conduisant à un use-after-free/double free. En forçant un identifiant de piste hors bornes, l’appel URLAssetCopyTrackByID échoue et le flux de contrôle emprunte un chemin « buggy » où FigRemakerTrack est libéré alors que FigRemaker conserve une référence, ouvrant la voie à une exécution de code dans le processus mediaplaybackd. La vulnérabilité est évoquée dans le cadre des correctifs d’iOS 18.3, parmi les CVE liés à CoreMedia, comme unique cas UAF dans ce lot. ...

Source: TechCrunch (Zack Whittaker), 29 août 2025. WhatsApp a corrigé une faille exploitée dans ses apps iOS et Mac, utilisée avec une vulnérabilité Apple, pour mener des intrusions « zéro‑clic » contre des utilisateurs ciblés. WhatsApp indique avoir patché la vulnérabilité suivie comme CVE-2025-55177, abusée en conjonction avec une faille iOS/macOS (CVE-2025-43300) qu’Apple a corrigée la semaine précédente. Selon WhatsApp, l’attaque visait des utilisateurs spécifiques et l’entreprise a envoyé moins de 200 notifications aux comptes affectés. Apple a qualifié l’opération d’« extrêmement sophistiquée ». ...