Coruna : spyware iPhone lié à la NSA ciblant iOS Coruna révèle un kit d'exploitation iOS sophistiqué et rentable, utilisé par des acteurs russes puis chinois. Le kit d'exploitation Coruna, identifié par le Google Threat Intelligence Group, est un ensemble iOS extrêmement sophistiqué destiné aux iPhone fonctionnant sous iOS 13.
Le kit d'exploitation Coruna, identifié par le Google Threat Intelligence Group, est un ensemble iOS extrêmement sophistiqué destiné aux iPhone fonctionnant sous iOS 13.0 à 17.2.1. Reposant sur cinq chaînes d'exploitation et 23 exploits, Coruna représente l'une des menaces les plus avancées détectées ces dernières années et aurait coûté plusieurs millions de dollars à développer.
Coruna : un kit d'exploitation iOS hors norme
Selon GTIG, Coruna cible les versions d'iOS 13 à 17.2.1 et se propage via des sites web compromis pouvant déclencher l'installation du malware sans interaction lourde.
Le code démontre une architecture modulaire avec cinq chaînes d'exploitation et des exploits non publics. Certains composants ont été reliés à une opération attribuée à la NSA et s'explique par son financement massif.
Comment il opère et qui l'utilise
La propagation est facilitée par des campagnes watering hole — des sites compromis qui contaminent les visiteurs — et par des attaques à grande échelle en Chine. Deux exploits figurant dans Coruna ont été liés à l'opération Triangulation, découverte par Kaspersky en 2023 et attribuée par la Russie à la NSA. Apple a ensuite corrigé les vulnérabilités associées dans les dernières versions d'iOS.
- Provenance et coût : le développement est estimé à plusieurs millions de dollars et montre des modules partagés avec des outils publiés ailleurs.
- Propagation : site web infecté et attaques ciblées, y compris des campagnes en russe et en chinois.
- Acteurs : des opérateurs russes et des cybercriminels chinois impliqués dans des échanges et des reventes sur le marché noir.
Contexte, risques et limites
Google indique que Coruna a été vu dans des campagnes menées par des acteurs actifs depuis la Russie et la Chine, et que certains éléments du code portent les marques de modules déjà attribués au gouvernement américain. Apple a corrigé les vulnérabilités exploitées et GTIG souligne l’existence d’un marché actif pour les exploits zero-day « d'occasion ». En Chine, environ 42 000 iPhone et iPad seraient infectés par la version chinoise de Coruna, qui visait notamment le vol de portefeuilles cryptographiques et l’exfiltration de données sensibles comme des phrases de sauvegarde ou des mots-clefs bancaires.
Ce que ça change pour la sécurité mobile
La facilité relative d’exploitation via un simple site web et l’existence d’un marché pour les exploits zero-day d'occasion démontrent que les systèmes iOS restent une cible prioritaire pour les agences et les cybercriminels. Apple travaille sur des cadres internationaux et des normes pour limiter les abus, et des mesures comme le Lockdown Mode servent à protéger les utilisateurs sensibles.
Pour terminer
Si Coruna révèle un modèle d’intrusion puissant et partiellement reproductible, il rappelle aussi que la sécurité mobile repose sur une surveillance continue des vulnérabilités et sur une coopération internationale pour limiter les dommages.
