Google détaille le kit d'exploitation iPhone Coruna comme une nouvelle menace pour les portefeuilles crypto et la sécurité iOS

Les chercheurs de Google ont découvert comment un kit d’exploitation avancé pour iPhone, utilisé dans plusieurs campagnes depuis 2025, est devenu une arme sérieuse pour les attaquants axés sur la cryptomonnaie.

Google dévoile le cadre Coruna et ses capacités sur iOS

Selon un nouveau rapport du Threat Intelligence Group de Google, un puissant cadre d’exploitation appelé Coruna cible les utilisateurs d’iPhone avec une chaîne sophistiquée de vulnérabilités. La boîte à outils contient cinq chaînes d’exploitation complètes pour iOS et 23 vulnérabilités distinctes pouvant compromettre des appareils fonctionnant sous iOS 13 à iOS 17.2.1.

Le kit d’exploitation pour iPhone permet aux attaquants d’exécuter du code malveillant via du contenu web en abusant des failles du moteur de navigateur WebKit d’Apple et d’autres composants clés. De plus, une fois qu’une victime ouvre un site web compromis, le cadre identifie immédiatement l’appareil, déterminant le modèle exact d’iPhone et la version du logiciel installé avant de choisir la chaîne d’exploitation la plus efficace.

Les chercheurs expliquent qu’après avoir obtenu un accès initial, le malware peut livrer des charges utiles pour récolter des données très sensibles. Cela inclut les détails des portefeuilles de cryptomonnaie, des informations financières et d’autres dossiers privés pouvant être monétisés ou exploités dans d’autres attaques.

De faux sites de cryptomonnaie à la collecte massive de données

Dans plusieurs campagnes observées, le cadre Coruna a été déployé via de faux sites de jeux d’argent et de cryptomonnaie conçus spécifiquement pour attirer les utilisateurs d’iPhone. Cependant, les attaquants ont également expérimenté avec d’autres pages d’atterrissage thématiquement adaptées pour élargir leur base de victimes potentielles tout en se concentrant fortement sur les détenteurs d’actifs numériques.

La charge malveillante peut scanner les images et fichiers stockés sur l’appareil à la recherche de mots-clés spécifiques tels que « phrase de sauvegarde » ou « compte bancaire ». Cela permet aux acteurs malveillants d’identifier automatiquement les phrases de récupération de portefeuille et d’autres données financières, leur donnant potentiellement un accès direct aux portefeuilles crypto et comptes bancaires des victimes.

Une fois que les phrases de récupération ou autres secrets sont exfiltrés, les criminels peuvent déplacer des fonds hors des portefeuilles compromis avec peu de chances d’être détectés par le propriétaire de l’appareil avant qu’il ne soit trop tard. De plus, ces données récoltées peuvent être revendues à d’autres groupes de cybercriminalité, multipliant ainsi l’impact potentiel.

Évolution, de la surveillance à l’utilisation par des États-nations et la cybercriminalité

L’enquête de Google indique que l’outil Coruna ne provient pas uniquement de cercles criminels. Il a d’abord émergé en 2025 dans des opérations de surveillance ciblée, où les opérateurs semblaient se concentrer sur la surveillance de personnes spécifiques plutôt que sur le vol massif de fonds.

Au fil du temps, cependant, le kit d’exploitation pour iPhone a migré vers des opérations plus agressives et géopolitiquement sensibles. Il a été observé plus tard dans des attaques de type watering-hole contre des utilisateurs ukrainiens, que les chercheurs attribuent à un groupe d’espionnage russe suspecté. Dans ces campagnes, des sites compromis fréquentés par des cibles ukrainiennes ont été infectés avec des exploits alimentés par Coruna.

Finalement, le même kit d’exploitation a été adopté par des hackers motivés financièrement liés à la Chine, marquant un passage de l’espionnage classique à une cybercriminalité à but lucratif. De plus, cette évolution montre comment des outils conçus pour la collecte de renseignements peuvent rapidement se répandre dans des écosystèmes criminels plus larges une fois qu’ils fuient ou sont partagés.

Une étude de cas sur la migration de logiciels espions mobiles et les risques pour la cryptomonnaie

Les analystes en sécurité soutiennent que Coruna illustre une tendance plus large dans le paysage des menaces cybernétiques. Des cadres d’exploitation sophistiqués, de type logiciel espion, migrent de plus en plus des marchés de surveillance gouvernementale ou commerciale vers la cybercriminalité grand public. Cette migration de logiciels espions mobiles brouille la frontière entre outils d’État et ceux utilisés par des syndicats criminels ordinaires.

Parce que les smartphones modernes stockent souvent des portefeuilles d’actifs numériques, des applications d’authentification et des documents personnels, ces outils permettent directement de voler des portefeuilles crypto à grande échelle. De plus, la convergence des risques de sécurité mobile et des cibles en cryptomonnaie fait que tout appareil iOS non patché contenant des actifs numériques devient une cible attrayante.

La présence de plusieurs chaînes d’exploitation iOS dans un seul cadre soulève également des inquiétudes quant à la réutilisation. Une fois qu’un acteur acquiert Coruna, il peut le réutiliser pour de nouvelles campagnes, en ajustant uniquement les sites d’appât ou les charges utiles tout en laissant la logique d’exploitation sous-jacente largement inchangée.

Mesures d’atténuation et importance des mises à jour iOS

Les chercheurs soulignent que maintenir ses appareils à jour avec les dernières versions d’iOS reste l’une des défenses les plus efficaces. Selon Google, le cadre Coruna ne fonctionne pas contre les versions logicielles les plus récentes, qui ont reçu des correctifs pour les vulnérabilités exploitées. Cependant, de nombreux utilisateurs retardent leurs mises à jour, laissant leurs anciens iPhones exposés pendant de longues périodes.

Les experts recommandent aux propriétaires d’iPhone d’installer les correctifs de sécurité dès qu’ils sont disponibles, d’éviter d’entrer des phrases de récupération ou des détails bancaires dans des applications de notes ou des fichiers image, et de rester prudents lorsqu’ils visitent des sites de jeux ou de cryptomonnaie inconnus. De plus, les organisations à haut risque devraient envisager d’utiliser des outils de détection des menaces mobiles et des politiques de navigation plus strictes sur les appareils d’entreprise.

D’un point de vue plus large, la nature axée sur WebKit des chaînes d’exploitation Coruna souligne comment une seule faille dans le navigateur WebKit peut ouvrir la voie à une compromission complète de l’appareil. Elle renforce également la nécessité d’un déploiement rapide et coordonné de correctifs par les fournisseurs et d’une adoption rapide par les utilisateurs finaux.

L’intersection croissante entre sécurité mobile et actifs numériques

Le cas Coruna met en évidence à quel point la sécurité des systèmes d’exploitation mobiles et la protection des actifs numériques sont désormais profondément liées. Avec un nombre croissant de personnes utilisant leur smartphone pour gérer leurs cryptomonnaies, messageries et services bancaires, tout kit d’exploitation avancé pour iPhone a des implications directes pour la sécurité des fonds.

En conclusion, l’historique des campagnes tracé par Google montre comment un seul outil peut passer d’une surveillance ciblée en 2025 à des attaques de watering-hole liées à des États-nations, puis à un vol motivé par le profit. De plus, cela indique que les défenseurs doivent supposer que des cadres similaires circulent déjà et doivent prioriser les mises à jour rapides, le stockage sécurisé des données de portefeuille et la surveillance continue des menaces mobiles.