Google Threat Intelligence Group a mis au point un ensemble d'outils d'exploitation pour iPhone qui, en raison de sa complexité et de sa portée, méritent une attention immédiate: il a été donné le nom Coruna (également identifié comme CryptoWaters). C'est une kit d'exploitation modulaire et très sophistiqué qui regroupe plusieurs chaînes d'attaque complètes pour différentes versions d'iOS et qui, selon l'analyse de Google, a circulé parmi différents acteurs tout au long de 2025. Vous pouvez lire le rapport technique de Google sur votre blog de renseignement de menace Voilà. et couverture de la presse initiale VÉRIFIER.
Ce qui rend Coruna dangereuse n'est pas seulement la qualité des exploits qu'elle inclut, mais la façon dont ils sont assemblés. Google décrit un cadre JavaScript qui d'abord le dispositif(empreinte) pour identifier le modèle et la version d'iOS, et selon ces données charger l'exploitation WebKit appropriée. Ensuite, il relie un contournement de l'atténuation de la sécurité - comme l'évitement de la protection PAC (Codes d'authentification des points) - et exécute la charge utile. Il s'agit d'une chaîne complète : reconnaissance, exécution de code à distance et escalade de contrôle sur l'appareil.
L'analyse a identifié cinq chaînes d'exploitation complètes et un total de 23 exploits ciblant les versions iOS allant de 13 à 17.2.1. Parmi les vulnérabilités utilisées figurent les défaillances de NVD signalées telles que CVE-2024-23222, CVE-2023-43000 et les plus anciens qui couvrent une large gamme de patchs. Google note également que certains modules réutilisent les techniques observées lors de campagnes précédentes, suggérant l'existence de composants « plug-and-play » dans le kit.
La télémétrie reconstitue une histoire intéressante sur la façon dont cet ensemble a évolué en main. Selon les chercheurs, une partie de l'explosion est apparue d'abord entre les mains d'un client d'une société de surveillance commerciale au début de 2024, puis il a été observé qu'elle était utilisée par un acteur d'État et, enfin, par un groupe à motivation économique de Chine à la fin de 2025. Ce transit illustre l'existence d'un marché actif pour les exploits de zéro jour et comment les outils initialement conçus pour la surveillance ciblée peuvent être utilisés dans les campagnes de masse.
Les usages spécifiques dans la rue ont varié. En juillet 2025, le cadre chargé a été détecté comme un iphrame caché du domaine "cdn.uacounter [.] com" dans des sites commis en Ukraine, destiné uniquement aux utilisateurs d'iPhone de certains emplacements; l'activité a été attribuée à un acteur suspect appelé UNC6353. En décembre 2025, la même technologie a réapparu dans un réseau de faux sites financiers en Chine, cette fois sans restrictions géographiques et associé à un acteur tracé comme UNC6691. iVerify mobile security provider avertit que Coruna représente l'un des premiers cas où les capacités de logiciels espions de qualité "état" se déplacent vers un déploiement plus large et plus commercialisé; votre rapport est disponible Voilà..
Lorsque l'explosion atteint l'entrée, les opérateurs ne restent pas sur l'appareil compromis : la livraison d'un chargeur (manager) appelé PlasmaLoader ou PLASMARID, conçu pour décoder les codes QR contenus dans les images et télécharger des modules supplémentaires à partir de serveurs externes, a été observée. Ces modules peuvent être destinés à exfilter des informations provenant d'applications cryptoactives telles que Base, Bitget Wallet, Exode ou MetaMask, ce qui rend le vecteur un risque direct pour les utilisateurs avec des portefeuilles sur leur mobile.
Les opérateurs ont ajouté des mécanismes de résilience: l'implant contient des serveurs de commande et de contrôle codés et un algorithme de générateur de domaine (DGA) qui, selon Google, utilise la chaîne "lazare" comme graine pour générer des domaines prévisibles avec TLD .xyz; ils utilisent également des résolutions avec le DNS public de Google pour vérifier si ces domaines sont actifs. Une version de débogage du kit a également été trouvée dans l'infrastructure des attaquants, ce qui a aidé les chercheurs à cartographier cinq chaînes d'exploitation complètes et les 23 vulnérabilités en ont profité.
Un détail technique pertinent est que Coruna évite de fonctionner si l'appareil est dans Mode bloc(Mode Lockdown) ou si l'utilisateur navigue en mode privé. Apple offre des informations sur ce mode, qui limite radicalement la surface d'attaque pour les menaces ciblées: Comment fonctionne le mode de verrouillage. En outre, Apple a corrigé de nombreuses vulnérabilités exploitées dans les mises à jour récentes; la page officielle de mise à jour de sécurité d'Apple est une bonne pratique: Mises à jour de sécurité d'Apple.
Qu'est-ce que cela signifie pour un utilisateur moyen? Premièrement, que tous les iPhone n'étaient pas vulnérables: Coruna a exploité les échecs qui affectent des versions spécifiques d'iOS et, selon Google, non efficace par rapport aux dernières versions qui incluent déjà les correctifs nécessaires. Cependant, de nombreux appareils ne sont pas tenus à jour et restent une cible facile. Deuxièmement, le mode de livraison: les sites légitimes compromis ou les fausses pages qui vous demandent expressément de les visiter "de votre iPhone pour une meilleure expérience" sont des leurres clairs; si un web insiste pour que vous l'ouvriez sur un mobile, vous devez être méfié. Troisièmement, si vous utilisez des portefeuilles de cryptomoneda sur l'appareil, vous devez mettre fin aux précautions avec les liens, QR et les détenteurs qui offrent des téléchargements ou des améliorations d'expérience.
La recommandation pratique et urgente est claire : mettre à jour votre iPhone à la dernière version d'iOS Apple publie, et si vous voulez une couche de protection supplémentaire activer le mode de verrouillage. Maintenir des mises à jour automatiques, éviter d'ouvrir des liens suspects à partir de SMS ou de réseaux sociaux et ne pas utiliser les réseaux Wi-Fi ouverts pour des transactions sensibles réduit considérablement les risques. Pour les administrateurs de sécurité et les professionnels, la constatation souligne la nécessité de surveiller le trafic inhabituel, d'examiner les iframes et les sources tierces sur les pages Web et d'envisager un contrôle supplémentaire de la détection des opérations de WebKit.
Au-delà du guide technique, Coruna représente un changement de temps: pour la première fois, selon divers analystes, une utilisation à grande échelle d'une boîte à outils d'exploitation iOS a été documentée, qui à l'origine avait l'air de "spyware-grade". Ce passage des outils commerciaux aux acteurs étatiques et, enfin, criminel pour le profit montre comment la disponibilité de vulnérabilités précieuses accélère la pollution de l'écosystème. Si vous souhaitez approfondir les détails techniques et la chronologie, les rapports Google et la couverture spécialisée sont des sources recommandées: Rapport GTIG, le morceau de VÉRIFIER et l ' analyse iVérifier.
En fin de compte, la leçon est de retour à la normale, mais plus urgente: le logiciel obsolète est une porte ouverte. Gardez votre appareil à jour, activez des protections supplémentaires telles que le mode de verrouillage et les sites ou messages de méfiance qui demandent des actions concrètes sur votre iPhone, en particulier s'il s'agit d'ouvrir des liens, de télécharger du contenu ou de scanner des codes QR. Ce cas - Coruna - rappelle que les outils de surveillance et d'exploitation peuvent se transformer en armes de grande portée.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
malveillant VS Extensions de code : l'attaque qui a exposé 3 800 dépôts internes
GitHub a confirmé qu'un dispositif d'un employé engagé par une extension malveillante de Visual Studio Code a permis l'exfiltration de centaines ou de milliers de dépôts interne...