Depuis longtemps, les kits explosés ont cessé d'être de simples outils de test pour devenir des plates-formes d'attaque sophistiquées. Un exemple récent est ce qu'on appelle le cadre Coruna, qui, selon l'analyse des chercheurs Kaspersky, représente une continuité et une modernisation de l'ensemble d'outils utilisés dans la campagne d'espionnage connue sous le nom d'opération Triangulation. Cette campagne, découverte en 2023, a gagné en notoriété pour l'utilisation de "zéro-clic" exploite sur iMessage qui a permis de compromettre l'iPhone sans interaction utilisateur; Coruna prend cette base et la porte à la prochaine génération de matériel et versions iOS. Plus de détails techniques et de preuves du lien se trouvent dans le rapport de Kaspersky publié par son équipe GREAT.
Du point de vue technique, Coruna n'est pas une explosion isolée, mais un kit modulaire : il comprend cinq chaînes d'exploitation complètes pour iOS qui profitent, ensemble, de 23 vulnérabilités connues et jusqu'à présent privées. Parmi ces échecs figurent ceux identifiés comme CVE-2023-32434 et CVE-2023-38606, dont deux faisaient déjà partie du répertoire de la Triangulation. L'analyse de Kaspersky a montré qu'une partie du code d'exploitation utilisé contre ces vulnérabilités est une version révisée et maintenue de l'explosion originale, suggérant une évolution soutenue du même projet depuis des années.
Coruna a été élargi pour reconnaître et attaquer les architectures modernes: les binaires incluent des contrôles explicites pour les puces comme A17 famille M3(M3, M3 Pro et M3 Max), et ils soutiennent les exécutions en ARM64 et ARM64E. En ce qui concerne les systèmes d'exploitation, les contrôles et les conditionneurs du paquet permettent au kit de sélectionner des exploits et des chargeurs adaptés aux appareils avec des versions iOS couvrant jusqu'à iOS 17.2 et même pour le bâtiment bêta précédent. Cette combinaison de support matériel et logiciel fait de Coruna une menace qui peut affecter des équipes relativement anciennes aux derniers modèles Apple.
Le processus d'infection décrit par les chercheurs commence dans le navigateur Safari par un petit « gestionnaire » qui recueille des informations à partir de l'appareil - qui en sécurité est appelé empreintes digitales - pour déterminer quelles voies d'exécution (URC) et techniques d'évitement sont applicables. À partir de cette décision, l'attaquant récupère des métadonnées cryptées qui guident les étapes suivantes. Le paquet malveillant télécharge d'autres composants protégés cryptographiquement, qui sont ensuite déchiffrés (les analyses parlent de l'utilisation de ChaCha20), non compressés (LZMA) et déballés par des conteneurs personnalisés jusqu'à ce que vous obteniez les éléments exécutables finals: l'explosion du noyau pertinent, un chargeur Mach-O et le lanceur qui déploie l'implant.
Cette approche modulaire permet au kit de choisir dynamiquement l'explosion exacte selon l'architecture et la version iOS de la cible, ce qui augmente le taux de succès et la persistance de l'attaque. En outre, l'analyse de Kaspersky souligne que le code montre une continuité avec Triangulation au-delà de la simple réutilisation des échecs : il y a des traces de développement et des tests continus qui pointent vers une équipe ou un acteur qui a maintenu et mis à jour le cadre au fil du temps.
Ce qui est inquiétant, c'est la diversification des usages: ce qui a commencé comme un outil d'espionnage hautement ciblé apparaît maintenant aussi dans les campagnes à motivation économique, par exemple voler des cryptomones à travers des pages d'échange frauduleuses qui imitent les plates-formes légitimes. Ce changement de cible illustre une tendance inquiétante: les outils initialement réservés aux acteurs disposant de ressources sont maintenant utilisés, ou du moins adaptés, par des groupes à des fins purement criminelles. Parallèlement, d'autres plateformes telles que le kit DarkSword ont été récemment diffusées et sont en circulation entre plusieurs acteurs, ce qui augmente encore le risque pour les appareils qui ne sont pas à jour.
Compte tenu de cette image, la première ligne de défense est claire : gardez les appareils avec les mises à jour de sécurité appliquées. Apple a publié un bulletin avec des correctifs qui corrigent les vulnérabilités nouvellement décrites; il est recommandé que tous les utilisateurs et administrateurs installent ces mises à jour dès que possible. La note officielle Apple est disponible sur votre page d'assistance. sur le contenu de sécurité.
En plus de la mise à jour, il convient d'adopter des pratiques simples mais efficaces : ne pas ouvrir des liens suspects ou des pages, se méfier des sites qui imitent les services financiers, activer des mises à jour automatiques et utiliser des mécanismes de protection supplémentaires pour les actifs sensibles, tels que l'authentification de plusieurs facteurs et, dans le cas des cryptomonédas, des portefeuilles froids (portefeuilles de matériel). Les entreprises et les autorités publiques devraient suivre les guides de sécurité et les avis de leurs fournisseurs et agences de cybersécurité pour évaluer l'exposition et atténuer les risques.
L'histoire de Coruna rappelle une tendance récurrente en cybersécurité : les exploits et les plateformes développés pour des opérations dirigées peuvent éventuellement devenir des outils beaucoup plus accessibles et dangereux lorsqu'ils sont mis à jour, redistribués ou reproduits. La conclusion est à la fois technique et pratique : la prévention et l'hygiène numérique demeurent la barrière la plus efficace contre les menaces qui évoluent aussi rapidement que les puces et les systèmes qu'elles cherchent à violer.
Pour ceux qui veulent approfondir le sujet, en plus du rapport de Kaspersky, il y a la couverture et l'analyse dans les médias spécialisés qui élargissent le contexte technique et les implications pour les utilisateurs et les organisations; un point de départ utile est la chronique journalistique sur l'utilisation récente de Coruna dans le vol de cryptoactif dans Calculateur et de se tenir au courant des avertissements et des lignes directrices des autorités, le site CISA fournit des ressources et des avertissements pertinents.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...