Vingt-trois failles de sécurité, cinq chaînes d’exploitation complètes, et une trajectoire qui ressemble à celle d’une arme passée de main en main. Le kit d’exploit iOS baptisé Coruna par ses créateurs, révélé le 3 mars par les chercheurs du Google Threat Intelligence Group (GTIG), a d’abord servi à espionner des cibles politiques avant de finir sur des sites frauduleux chinois conçus pour siphonner les portefeuilles de cryptomonnaies.

Un arsenal documenté comme un logiciel commercial

Coruna cible les iPhone tournant sous iOS 13 à iOS 17.2.1, soit toutes les versions sorties entre septembre 2019 et décembre 2023. Le kit réunit des exploits pour l’exécution de code à distance via le moteur WebKit de Safari, le contournement du système d’authentification par pointeur (PAC) introduit par Apple pour bloquer la manipulation de la mémoire, l’évasion du bac à sable qui isole les applications, et l’escalade de privilèges jusqu’au noyau du système. Chaque pièce s’emboîte avec la suivante : le framework JavaScript détecte le modèle d’iPhone et la version d’iOS, puis charge la combinaison d’exploits adaptée.

Le niveau d’ingénierie surprend les analystes. Les exploits contiennent une documentation détaillée rédigée en anglais natif, avec des commentaires et des docstrings dans le code, selon le rapport de GTIG. Certains utilisent des techniques d’exploitation non publiques et des contournements de protections qu’Apple pensait solides. L’un des exploits réutilise des vulnérabilités découvertes lors de l’Opération Triangulation, une campagne de cyberespionnage de grande ampleur identifiée par Kaspersky en 2023, qui avait révélé l’existence de fonctionnalités matérielles non documentées dans les puces Apple.

Trois utilisateurs en un an, du renseignement au crime de masse

Le parcours de Coruna raconte en accéléré la prolifération des cyberarmes. En février 2025, GTIG repère les premiers fragments du kit entre les mains d’un client d’un vendeur de logiciels de surveillance. Ce type d’acteur vend ses outils à des gouvernements pour des opérations ciblées, visant des journalistes, des opposants politiques ou des diplomates. Le prix de ces kits se chiffre en millions de dollars.

L’été suivant, le même framework JavaScript apparaît sur un domaine ukrainien compromis, cdn.uacounter[.]com, intégré en iframe invisible sur des sites de commerce en ligne, d’outillage industriel et de services locaux. GTIG attribue cette campagne à UNC6353, un groupe suspecté de travailler pour le renseignement russe, qui ne visait que les utilisateurs d’iPhone situés dans une zone géographique précise. Le CERT-UA, l’équipe de réponse aux incidents informatiques ukrainienne, a été alerté et a nettoyé les sites infectés.

Fin 2025, le kit change encore de propriétaire. Un acteur chinois motivé par l’argent, identifié sous le nom UNC6691 par Google, le déploie sur un réseau de faux sites de paris et de plateformes d’échange de cryptomonnaies. Cette fois, aucun ciblage géographique : tous les visiteurs sur iPhone reçoivent l’exploit.

À lire aussi

1re pub Google piégée : de faux guides Claude Code volent cryptos et mots de passe
Cinq malwares et une clé USB : comment la Corée du Nord pirate des réseaux coupés d’internet

MetaMask, Phantom, Exodus : les portefeuilles vidés

Le malware final, que GTIG appelle PlasmaGrid, s’injecte dans le processus système powerd de l’iPhone. Il télécharge ensuite des modules ciblant les applications de portefeuilles crypto les plus populaires : MetaMask, Phantom, Exodus, BitKeep et Uniswap. Le programme cherche les phrases de récupération des portefeuilles (les fameuses seed phrases au format BIP39), les chaînes de texte contenant des mots-clés comme « backup phrase » ou « bank account », et les données stockées dans l’application Notes d’Apple.

Les informations volées sont chiffrées en AES avant d’être expédiées vers des serveurs de commande dont les adresses sont codées en dur dans le malware. Pour résister aux tentatives de blocage, PlasmaGrid embarque aussi un algorithme de génération de noms de domaine (DGA) qui produit des adresses en .xyz à partir d’une graine baptisée « lazarus », un détail qui n’a pas échappé aux analystes, tant le nom évoque le groupe de hackers nord-coréen.

iVerify, une entreprise spécialisée dans la sécurité mobile, a mené sa propre analyse en parallèle de Google. Ses chercheurs ont infecté plusieurs appareils sous iOS 15 à iOS 17 dans un environnement contrôlé, en passant le trafic par un proxy pour capturer chaque étape de l’attaque. Leur conclusion rejoint celle de GTIG : Coruna représente « l’un des exemples les plus clairs à ce jour » de capacités conçues pour l’espionnage d’État qui migrent vers des opérations criminelles de masse, a déclaré l’équipe d’iVerify dans un billet publié le 3 mars.

La CISA impose un correctif avant le 26 mars

Le 5 mars, l’agence américaine de cybersécurité CISA a inscrit trois des vulnérabilités exploitées par Coruna dans son catalogue des failles activement utilisées (KEV). Les références concernées sont CVE-2021-30952 (un dépassement d’entier dans WebKit), CVE-2023-41974 et CVE-2023-43000 (deux failles de type use-after-free dans iOS et iPadOS). Les agences fédérales américaines ont jusqu’au 26 mars pour appliquer les correctifs ou cesser d’utiliser les appareils vulnérables, conformément à la directive BOD 22-01.

Apple a corrigé l’ensemble de ces failles dans des mises à jour publiées entre fin 2021 et début 2024. Les utilisateurs dont l’iPhone tourne sous iOS 17.3 ou une version ultérieure ne sont pas exposés. Le mode Isolement (Lockdown Mode), conçu pour protéger les personnes les plus à risque, bloque le kit dès sa première étape. La navigation privée dans Safari suffit elle aussi à empêcher l’infection.

Un marché de l’occasion pour les failles d’État

GTIG reconnaît ne pas savoir comment Coruna est passé d’un vendeur de surveillance à des espions russes, puis à des criminels chinois. « Le mécanisme de prolifération n’est pas clair, mais suggère l’existence d’un marché actif pour les exploits zero-day de seconde main », écrivent les chercheurs de Google. Les vendeurs de spyware commerciaux gardent habituellement ces kits sous accès très restreint, réservés à leurs clients gouvernementaux pour des opérations ciblées. Apple a toujours soutenu que ce type de faille n’était exploité que dans des attaques limitées visant des individus de haute valeur.

La réalité décrite par iVerify et Google raconte autre chose. Les outils qui visaient autrefois des chefs d’État servent désormais à piéger des utilisateurs ordinaires sur de faux sites de paris. GTIG prévoit de publier des analyses techniques complémentaires dans les semaines à venir, et les chercheurs d’iVerify poursuivent leur investigation sur l’infrastructure de distribution du kit.