Google Threat Intelligence Group hat eine Reihe von Betriebssystem-Tools für iPhone herausgebracht, die aufgrund seiner Komplexität und seines Umfangs sofort Aufmerksamkeit verdient: es wurde dem Namen Coruna (auch als CryptoWaters bezeichnet) gegeben. Das ist ein modulares und sehr anspruchsvolles Betriebssystem die mehrere komplette Angriffsketten für verschiedene Versionen von iOS zusammenbringt und nach Googles Analyse 2025 unter verschiedenen Akteuren zirkuliert. Sie können den technischen Bericht von Google auf Ihrem Bedrohungs-Geheimdienst-Blog lesen Hier. und erste Presseabdeckung in RICHTLINIE.
Was Coruna gefährlich macht, ist nicht nur die Qualität der Exploits, die es beinhaltet, sondern die Art, wie sie zusammengesetzt werden. Google beschreibt einen JavaScript-Rahmen, der zuerst die Vorrichtung(Fingerprinting) Modell und Version von iOS zu identifizieren, und nach diesen Daten laden die entsprechende WebKit-Exploit. Dann verlinkt es einen Bypass der Sicherheitsbegrenzung - wie die Vermeidung von PAC-Schutz (Pointer Authentication Codes) - und führt die Nutzlast. Es ist eine komplette Kette: Erkennung, Remote-Code Ausführung und Steuerung klettern auf dem Gerät.
Die Analyse identifizierte fünf komplette Betriebsketten und insgesamt 23 Exploits Ziel iOS-Versionen von 13 bis 17.2.1. Unter den verwendeten Schwachstellen werden NVD-Versagen wie CVE-2024-23222, CVE-2023-43000 und ältere, die eine breite Palette von Patches abdecken. Google stellt auch fest, dass einige Module in früheren Kampagnen beobachtete Techniken wiederverwenden, was die Existenz von "Plug-and-Play" Komponenten innerhalb des Kits nahelegt.
Telemetrie baut eine interessante Geschichte darüber auf, wie sich dieses Set in der Hand bewegt hat. Nach Angaben der Forscher tauchten Anfang 2024 Teile der Explosion in den Händen eines Kunden eines kommerziellen Überwachungsunternehmens auf, dann wurde beobachtet, dass es von einem Staatsdarsteller und schließlich von einer Gruppe mit wirtschaftlicher Motivation aus China Ende 2025 verwendet wurde. Dieser Transit zeigt die Existenz eines aktiven Marktes für Zero-Day-Ausbeuten und wie Werkzeuge, die ursprünglich für eine gezielte Überwachung konzipiert wurden, in Massenkampagnen genutzt werden können.
Die spezifischen Anwendungen auf der Straße sind vielfältig. Im Juli 2025 wurde der geladene Frame als versteckte Iphrame aus der "cdn.uacounter [.] com"-Domain in engagierten Websites in der Ukraine erkannt, die nur auf iPhone-Nutzer bestimmter Standorte ausgerichtet war; die Aktivität wurde einem verdächtigen Schauspieler namens UNC6353 zugeschrieben. Im Dezember 2025 erschien die gleiche Technologie wieder in einem Netz von gefälschten finanziellen Cutoff-Sites in China, diesmal ohne geographische Einschränkungen und verbunden mit einem Schauspieler als UNC6691 verfolgt. iVerify Mobile Security Provider warnt, dass Coruna eines der ersten Fälle darstellt, in denen "state" Qualität Spyware-Fähigkeiten zu einer breiteren und kommerzielleren Bereitstellung bewegen; Ihr Bericht ist verfügbar Hier..
Wenn die Explosion die Eingabe erreicht, bleiben die Operatoren nicht auf dem kompromittierten Gerät: Die Lieferung eines Ladegeräts (Manager) namens PlasmaLoader oder PLASMAGRID, entworfen, um QR-Codes in Bildern zu decodieren und zusätzliche Module von externen Servern herunterzuladen, wurde beobachtet. Diese Module können darauf abzielen, Informationen aus kryptoaktiven Anwendungen wie Base, Bitget Wallet, Exodus oder MetaMask auszufiltern, was den Vektor zu einem direkten Risiko für Anwender mit Portfolios auf ihrem Handy macht.
Betreiber haben Resilienzmechanismen hinzugefügt: Das Implantat enthält codierte Befehls- und Steuerserver und einen Domänengeneratoralgorithmus (DGA), der laut Google die "lazarus"-Kette als Saatgut verwendet, um vorhersehbare Domänen mit TLD .xyz zu generieren; sie verwenden auch Auflösungen mit Googles Public DNS, um zu überprüfen, ob diese Domänen aktiv sind. Eine Debugging-Version des Kits fand sich auch in der Infrastruktur der Angreifer, die den Forschern halfen, fünf volle operative Ketten und die 23 Schwachstellen ausgenutzt.
Ein relevantes technisches Detail ist, dass Coruna das Laufen vermeidet, wenn das Gerät in Blockmodus(Lockdown-Modus) oder wenn der Benutzer im privaten Modus segelt. Apple bietet Informationen zu diesem Modus, der die Angriffsfläche für gezielte Bedrohungen radikal begrenzt: Wie der Sperrmodus funktioniert. Darüber hinaus hat Apple viele der Schwachstellen, die in den letzten Aktualisierungen ausgenutzt wurden, gepatelt; die offizielle Apple Security-Updates-Seite ist eine gute Praxis: Aktualisierung von Apple Security.
Was bedeutet das für einen durchschnittlichen Benutzer? Erstens, dass nicht alle iPhone waren verletzlich: Coruna nutzte Fehler, die bestimmte Versionen von iOS beeinflussen und, laut Google, nicht wirksam gegen neueste Versionen die bereits die notwendigen Patches enthalten. Viele Geräte sind jedoch nicht auf dem neuesten Stand und bleiben ein einfaches Ziel. Zweitens, die Art der Lieferung: legitime kompromittierte Seiten oder falsche Seiten, die ausdrücklich fragen, dass Sie sie besuchen "von Ihrem iPhone für eine bessere Erfahrung" sind klare Lures; wenn ein Web darauf besteht, dass Sie es auf einem Handy öffnen, müssen Sie misstrauen. Drittens, wenn Sie Kryptomoneda-Portfolios auf dem Gerät verwenden, müssen Sie die Vorsichtsmaßnahmen mit Links, QR und Haltern, die Downloads oder Erfahrung Verbesserungen bieten.
Die praktische und dringende Empfehlung ist klar: aktualisieren Sie Ihre iPhone auf die neueste Version von iOS Apple veröffentlicht, und wenn Sie eine zusätzliche Schutzschicht wünschen, aktivieren Sie den Sperrmodus. Automatische Updates zu erhalten, verdächtige Links von SMS oder sozialen Netzwerken zu öffnen und keine offenen WLAN-Netzwerke für sensible Transaktionen zu verwenden, reduziert das Risiko erheblich. Für Sicherheitsadministratoren und Profis unterstreicht die Feststellung die Notwendigkeit, ungewöhnlichen Verkehr zu überwachen, iframes und Drittanbieter-Quellen auf Webseiten zu überprüfen und eine zusätzliche Kontrolle der WebKit-Betriebserkennung zu berücksichtigen.
Über den technischen Leitfaden hinaus stellt Coruna einen Zeitwechsel dar: Zum ersten Mal wurde nach verschiedenen Analysten eine Skalennutzung eines iOS-Betriebs-Toolkits dokumentiert, das ursprünglich "spyware-grade" aussah. Dieser Übergang von kommerziellen Werkzeugen zu staatlichen Akteuren und schließlich kriminell für Profit zeigt, wie die Verfügbarkeit wertvoller Schwachstellen die Verschmutzung des Ökosystems beschleunigt. Wenn Sie technische Details und Chronologie vertiefen möchten, werden Google-Berichte und spezialisierte Abdeckung empfohlen Quellen: GTIG Bericht, das Stück RICHTLINIE und Analyse iVerify.
Am Ende ist die Lektion wieder auf die übliche, aber dringender: Die veraltete Software ist eine offene Tür. Halten Sie Ihr Gerät auf dem neuesten Stand, aktivieren Sie zusätzliche Schutzmaßnahmen wie den Sperrmodus und Misstrauen Websites oder Nachrichten, die nach konkreten Aktionen auf Ihrem iPhone fragen, vor allem, wenn sie Links öffnen, Inhalte herunterladen oder QR-Codes scannen. Dieser Fall - Coruna - erinnert daran, dass Überwachungs- und Ausbeutungswerkzeuge in weitreichende Waffen umgewandelt werden können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
! VS Code-Erweiterungen: der Angriff, der 3.800 interne Repositories ausgesetzt
GitHub hat bestätigt, dass ein Gerät eines Mitarbeiters mit einer bösartigen Erweiterung von Visual Studio Code die Exfiltration von Hunderten oder Tausenden von internen Reposi...