Google merkte op dat Apple de door Coruna gebruikte kwetsbaarheid in de nieuwste versie van zijn mobiele besturingssysteem heeft gepatcht. iOS26er wordt dus alleen bevestigd dat de exploitatietechniek werkt op iOS 13 tot 17.2.1. Het richt zich op een kwetsbaarheid in Apple’s Webkit-framework voor browsers, dus Safari-gebruikers op oudere versies van iOS zouden kwetsbaar zijn, maar er zijn geen bevestigde technieken in de toolkit om Chrome-gebruikers te targeten. Google merkte ook op dat Coruna controleert of iOS-apparaten de strengste beveiligingsinstellingen van Apple hebben, bekend als Vergrendelingsmodusis ingeschakeld en probeer het niet te hacken als dit het geval is.
Ondanks deze beperkingen zegt iVerify dat Coruna waarschijnlijk tienduizenden telefoons heeft geïnfecteerd. Het bedrijf overlegde met partners die toegang hadden tot netwerkverkeer en telde bezoeken aan commando- en controleservers voor de cybercriminelenversie van Coruna die Chineestalige websites infecteerde. Dat aantal verbindingen suggereert, zegt iVerify, dat alleen al in de non-profitcampagne ongeveer 42.000 apparaten mogelijk zijn gehackt met de toolkit.
Hoeveel andere slachtoffers mogelijk zijn blootgesteld aan Coruna, waaronder Oekraïners die websites bezochten die met de code waren geïnfecteerd door een vermoedelijke Russische spionageoperatie, blijft onduidelijk. Google weigerde commentaar te geven buiten het gepubliceerde rapport. Apple gaf niet onmiddellijk commentaar op de bevindingen van Google of iVerify.
Uit de analyse van iVerify van de versies van Coruna door cybercriminelen (waartoe het geen toegang had tot eerdere versies) ontdekte het bedrijf dat de code leek te zijn gewijzigd om malware op doelapparaten te plaatsen die bedoeld waren om cryptocurrency uit crypto-wallets te halen en om foto’s en, in sommige gevallen, e-mails te stelen. Maar de toevoegingen zijn “slecht geschreven” vergeleken met de onderliggende Coruna-toolkit, volgens Spencer Parker, Chief Product Officer van iVerify, die volgens hem erg strak en modulair is.
“Mijn God, deze dingen zijn zo professioneel geschreven”, zei Parker over de exploits in Coruna, waarmee hij aangeeft dat de grovere malware is toegevoegd door cybercriminelen die later de code hebben verkregen.
Met betrekking tot de codemodules die de oorsprong van Coruna als hulpmiddel van de Amerikaanse overheid aangeven, merkte Cole van iVerify één alternatieve verklaring op: het is mogelijk dat de code van Coruna overlapt met de Operation Triangulation-malware die Rusland op Amerikaanse hackers heeft geprikt, gebaseerd kan zijn op triangulatiecomponenten die na ontdekking worden verzameld en hergebruikt. Maar Cole denkt dat dat onmogelijk is. Veel componenten van Coruna zijn nog nooit eerder gezien, legde hij uit, en het hele apparaat lijkt te zijn gemaakt door een “enkele auteur”, zoals hij het uitdrukte.
“Dit raamwerk werkt heel goed”, zegt Cole, die eerder bij de NSA werkte, maar merkte op dat hij al meer dan tien jaar buiten de regering zat en zijn bevindingen niet baseerde op zijn verouderde kennis van Amerikaanse hacktools. ‘Het lijkt erop dat het in zijn geheel is geschreven. Het lijkt niet in elkaar te zitten.’
Als Coruna in feite een frauduleus Amerikaans hackapparaat is, blijft het een mysterie hoe het in de handen van buitenlandse actoren en criminelen terecht is gekomen. Maar Cole wijst op een makelaarssector die tientallen miljoenen dollars kan betalen voor zero-day-hacktechnieken die ze kunnen doorverkopen voor spionage, cybercriminaliteit of cyberoorlogvoering. Met name Peter Williams, een leidinggevende bij de Amerikaanse overheidscontractant Trenchant, werd deze maand veroordeeld tot zeven jaar gevangenisstraf wegens verkocht hacktools aan de Russische zero-day makelaar Operation Zero van 2022 tot 2025. Williams’ veroordelingsmemo merkt op dat Trenchant hacktools verkocht aan de Amerikaanse inlichtingengemeenschap en aan anderen in de ‘Five Eyes’-groep van Engelssprekende regeringen – de VS, het VK, Australië, Canada en Nieuw-Zeeland – hoewel het niet duidelijk is welke specifieke tools hij verkocht of op welke apparaten ze zich richtten.
“Deze zero-day, uitbuitende makelaars zijn doorgaans gewetenloos”, zegt Cole. “Ze verkopen aan de hoogste bieder en maken een dubbele dip. Velen hebben geen exclusiviteitsregeling. Dat is waarschijnlijk wat hier is gebeurd.”
“Een van deze instrumenten kwam in handen van niet-westerse exploitatiemakelaars, en zij verkochten het aan iedereen die bereid was ervoor te betalen”, concludeerde Cole. “De geest is uit de fles.”
