Les chercheurs en sécurité rapportent qu'un puissant cadre de piratage iPhone, autrefois lié à des opérations de surveillance, est désormais utilisé dans des campagnes criminelles pour voler des cryptomonnaies et des données sensibles des utilisateurs.

Ce kit d'exploitation, connu sous le nom de Coruna, contient plusieurs chaînes d'exploitation pouvant compromettre des iPhones vulnérables via des sites Web malveillants.

Les hackers ciblent WebKit et les anciennes versions d'iOS

Selon des analyses menées par le Google Threat Intelligence Group et la société de sécurité mobile iVerify, le cadre comprend :

  • Cinq chaînes d'exploitation complètes
  • 23 vulnérabilités de sécurité iOS connues
  • Des techniques contournant plusieurs protections de sécurité d'Apple

Les attaques ciblent WebKit, utilisé par tous les navigateurs iOS. Cela signifie qu'une simple visite d'une page Web malveillante peut compromettre les appareils exécutant d'anciennes versions d'iOS.

Une fois déclenchée, la chaîne d'exploitation élève les privilèges d'accès du navigateur au niveau du noyau, permettant aux attaquants d'installer des logiciels malveillants avec des permissions root.

De l'outil de surveillance à l'arme criminelle

Les chercheurs ont d'abord détecté des composants du cadre au début de 2025, lors d'une opération de surveillance signalée comme étant liée à un vendeur de logiciels espions.

Plus tard dans l'année, l'exploitation est réapparue dans une campagne d'intelligence russe suspectée ciblant des sites Web ukrainiens. Le code malveillant était dissimulé dans un widget de comptage de visiteurs, infectant silencieusement des utilisateurs iPhone sélectionnés.

Plus récemment, le cadre a été réutilisé dans des opérations criminelles ciblant des sites de cryptomonnaies et de jeux d'argent en langue chinoise.

Plus de 40 000 appareils potentiellement infectés par Coruna

La société de sécurité iVerify estime qu'une seule campagne axée sur les cryptomonnaies a infecté environ 42 000 appareils ; cette estimation est basée sur les connexions aux serveurs de commande et de contrôle utilisés par les attaquants.

Une fois un appareil compromis, les hackers peuvent rechercher des portefeuilles de cryptomonnaies, voler des identifiants d'échange et extraire des photos et des données d'e-mails.

Les chercheurs notent que le cadre d'exploitation de base est extrêmement sophistiqué, tandis que le logiciel criminel ajouté semble beaucoup plus simple ; cela indique que différents groupes réutilisent la même plateforme d'exploitation.

Liens possibles avec des campagnes de logiciels espions précédentes

Il a été rapporté que le code utilisé dans Coruna chevauche des composants d'une grande campagne d'espionnage iPhone découverte en 2023, connue sous le nom d'Opération Triangulation.

Certaines chercheurs pensent que le cadre a pu être initialement développé pour un usage gouvernemental ou de renseignement, puis a infiltré un marché d'exploitation plus large.

Les experts comparent la situation à la fuite EternalBlue, qui a ensuite conduit à des cyberattaques à grande échelle comme WannaCry.

Comment les exploits iPhone de niveau étatique tombent entre les mains des criminels

Les chercheurs soulignent que l'incident met en lumière un marché croissant de "seconde main" pour les cadres d'exploitation de jour zéro.

Les outils initialement créés pour les agences de renseignement ou les forces de l'ordre peuvent, avec le temps, être revendus entre les courtiers d'exploitation et parfois tomber entre les mains de gouvernements concurrents ou de groupes de cybercriminalité.

Bien qu'Apple ait corrigé les vulnérabilités connues utilisées par Coruna dans les versions actuelles d'iOS, les experts en sécurité avertissent que les techniques derrière le cadre peuvent continuer à évoluer.

Les utilisateurs d'anciennes versions d'iOS continuent d'être dans la situation la plus vulnérable. Pour éviter les vulnérabilités, les utilisateurs doivent garder leurs appareils complètement à jour avec les derniers correctifs de sécurité.