Google merkt op dat Apple kwetsbaarheden heeft verholpen die Coruna gebruikte in recente versies van zijn mobiele besturingssysteem. iOS26Er wordt dus alleen bevestigd dat de exploittechnieken werken tegen iOS 13 tot 17.2.1. Het richt zich op kwetsbaarheden in Apple’s Webkit-framework voor browsers, dus Safari-gebruikers op de oudere versies van iOS zouden kwetsbaar zijn, maar er zijn geen bevestigde technieken in de toolkit om Chrome-gebruikers te targeten. Google merkt verder op dat Coruna controleert of een iOS-apparaat de strengste beveiligingsinstelling van Apple heeft, bekend als Vergrendelmodusingeschakeld en probeer het niet te hacken als dat het geval is.
Ondanks deze beperkingen zegt iVerify dat Coruna waarschijnlijk tienduizenden telefoons heeft geïnfecteerd. Het bedrijf overlegde met een partner die toegang heeft tot netwerkverkeer en telde bezoeken aan een command-and-control-server voor de cybercriminele versie van Coruna die Chineestalige websites infecteerde. Het aantal van deze verbindingen suggereert, zegt iVerify, dat alleen al in de winstgevende campagne al ongeveer 42.000 apparaten met de toolbox zijn gehackt.
Hoeveel andere slachtoffers Coruna mogelijk heeft getroffen, waaronder Oekraïners die websites bezochten die besmet waren met de code van de vermoedelijke Russische spionageoperatie, blijft onduidelijk. Google weigerde commentaar te geven op het gepubliceerde rapport. Apple gaf niet onmiddellijk commentaar op de bevindingen van Google of iVerify.
Eén enkele, zeer professionele schrijver
Uit de analyse van iVerify van de cybercriminele versie van Coruna – het bedrijf had geen toegang tot een van de voorgaande versies – ontdekte het bedrijf dat de code leek te zijn aangepast om malware op doelapparaten te plaatsen die bedoeld waren om cryptocurrency uit crypto-wallets te halen en om foto’s en, in sommige gevallen, e-mails te stelen. Deze add-ons waren echter “slecht geschreven” vergeleken met de onderliggende Coruna-toolset, volgens Spencer Parker, hoofdproductmanager van iVerify, die hij indrukwekkend gepolijst en modulair vond.
“Mijn God, deze dingen zijn zeer professioneel geschreven”, zegt Parker over de exploits in Coruna, wat suggereert dat de grovere malware is toegevoegd door de cybercriminelen die later die code hebben verkregen.
Wat betreft de codemodules die de oorsprong van Coruna als toolbox van de Amerikaanse overheid suggereren, merkt Cole van iVerify een alternatieve verklaring op: het is mogelijk dat de overlappingen tussen de code van Coruna en de Operation Triangulation-malware die Rusland in handen hield van Amerikaanse hackers het gevolg kunnen zijn van het feit dat de componenten van Triangulation worden opgepikt en hergebruikt nadat ze zijn ontdekt. Maar Cole beweert dat dat onwaarschijnlijk is. Veel onderdelen van Coruna zijn nog nooit eerder gezien, benadrukt hij, en de hele toolkit lijkt te zijn gemaakt door één ‘enkele auteur’, zoals hij het zelf stelt.
“Het raamwerk blijft heel goed bij elkaar”, zegt Cole, die eerder bij de NSA werkte, maar merkt op dat hij al meer dan tien jaar buiten de regering zit en geen enkele bevindingen baseert op zijn eigen verouderde kennis van Amerikaanse hacktools. “Het lijkt erop dat het als één geheel is geschreven. Het lijkt er niet op dat het in elkaar is gezet.”
Als Coruna in feite een Amerikaanse hacktoolbox is die een schurkenstaat is geworden, blijft het een mysterie hoe het in buitenlandse en criminele handen terecht is gekomen. Maar Cole wijst op de industrie van makelaars die tientallen miljoenen dollars kunnen betalen voor zero-day-hacktechnieken, die ze kunnen doorverkopen voor spionage, cybercriminaliteit of cyberoorlogvoering. In het bijzonder werd Peter Williams, een leidinggevende bij de Amerikaanse overheidscontractant Trenchant, deze maand veroordeeld tot zeven jaar gevangenisstraf verkoopt hacktools aan de Russische zero-day broker Operation Zero van 2022 tot 2025. Williams’ veroordelingsmemo merkt op dat Trenchant hacktools verkocht aan de Amerikaanse inlichtingengemeenschap en aan anderen in de ‘Five Eyes’-groep van Engelssprekende regeringen – de VS, het VK, Australië, Canada en Nieuw-Zeeland – hoewel het niet duidelijk is welke specifieke tools hij verkocht of op welke apparaten ze zich richtten.
“Deze zero-day- en exploit-makelaars zijn doorgaans gewetenloos”, zegt Cole. “Ze verkopen aan de hoogste bieder en verdubbelen. Velen hebben geen exclusiviteitsregeling. Dat is zeer waarschijnlijk wat hier is gebeurd.”
“Eén van deze tools kwam in handen van een niet-westerse exploitatiemakelaar en zij verkochten het aan iedereen die bereid was ervoor te betalen”, besluit Cole. “De geest is uit de fles.”
