Google merkt op dat Apple kwetsbaarheden heeft gepatcht die Coruna gebruikte in de nieuwste versies van zijn mobiele besturingssysteem. iOS26dus er wordt alleen bevestigd dat de exploitatietechnieken werken tegen iOS 13 tot en met 17.2.1. Het richt zich op kwetsbaarheden in Apple’s Webkit-framework voor browsers, dus Safari-gebruikers op die oudere versies van iOS zouden kwetsbaar zijn, maar er zijn geen bevestigde technieken in de toolkit om Chrome-gebruikers te targeten. Google merkt ook op dat Coruna controleert of een iOS-apparaat de strengste beveiligingsinstelling van Apple heeft, bekend als Lockdown-modusingeschakeld en probeert het niet te hacken als dat het geval is.
Ondanks deze beperkingen zegt iVerify dat Coruna waarschijnlijk tienduizenden telefoons heeft geïnfecteerd. Het bedrijf overlegde met een partner die toegang heeft tot netwerkverkeer en telde bezoeken aan een command-and-control-server voor de cybercriminele versie van Coruna die Chineestalige websites infecteerde. Het volume van deze verbindingen suggereert, zegt iVerify, dat alleen al in de winstgevende campagne al ongeveer 42.000 apparaten met de toolkit zijn gehackt.
Hoeveel andere slachtoffers Coruna mogelijk heeft getroffen, waaronder Oekraïners die websites bezochten die met de code waren geïnfecteerd door de vermoedelijke Russische spionageoperatie, blijft onduidelijk. Google weigerde commentaar te geven op het gepubliceerde rapport. Apple gaf niet onmiddellijk commentaar op de bevindingen van Google of iVerify.
Eén enkele, zeer professionele auteur
Uit de analyse van iVerify van de cybercriminele versie van Coruna (het had geen toegang tot een van de eerdere versies) ontdekte het bedrijf dat de code leek te zijn gewijzigd om malware op doelapparaten te plaatsen die waren ontworpen om cryptocurrency uit crypto-wallets te halen en om foto’s en, in sommige gevallen, e-mails te stelen. Die toevoegingen waren echter “slecht geschreven” vergeleken met de onderliggende Coruna-toolkit, volgens Spencer Parker, Chief Product Officer van iVerify, die volgens hem indrukwekkend gepolijst en modulair was.
“Mijn God, deze dingen zijn zeer professioneel geschreven”, zegt Parker over de exploits in Coruna, wat suggereert dat de grovere malware is toegevoegd door de cybercriminelen die later die code hebben verkregen.
Wat betreft de codemodules die de oorsprong van Coruna als toolkit van de Amerikaanse overheid suggereren, merkt Cole van iVerify één alternatieve verklaring op: het is mogelijk dat de overlappingen tussen de code van Coruna en de Operation Triangulation-malware, die Rusland op Amerikaanse hackers heeft geprikt, het gevolg kunnen zijn van het feit dat de componenten van Triangulation werden opgepikt en opnieuw werden gebruikt nadat ze waren ontdekt. Maar Cole beweert dat dat onwaarschijnlijk is. Veel onderdelen van Coruna zijn nog nooit eerder gezien, benadrukt hij, en de hele toolkit lijkt te zijn gemaakt door één ‘enkele auteur’, zoals hij het zelf stelt.
“Het raamwerk blijft heel goed bij elkaar”, zegt Cole, die eerder bij de NSA werkte, maar merkt op dat hij al meer dan tien jaar buiten de regering zit en geen bevindingen baseert op zijn eigen verouderde kennis van Amerikaanse hacktools. “Het lijkt erop dat het als één geheel is geschreven. Het lijkt er niet op dat het in elkaar is gezet.”
Als Coruna in feite een corrupte Amerikaanse hacktoolkit is, blijft het een mysterie hoe het in buitenlandse en criminele handen terecht is gekomen. Maar Cole wijst op de industrie van makelaars die tientallen miljoenen dollars kunnen betalen voor zero-day-hacktechnieken die ze kunnen doorverkopen voor spionage, cybercriminaliteit of cyberoorlog. Opvallend is dat Peter Williams, een directeur van de Amerikaanse overheidscontractant Trenchant, deze maand tot zeven jaar gevangenisstraf werd veroordeeld het verkopen van hacktools aan de Russische zero-day broker Operation Zero van 2022 tot 2025. Williams’ veroordelingsmemo merkt op dat Trenchant hacktools verkocht aan de Amerikaanse inlichtingengemeenschap en aan anderen in de ‘Five Eyes’-groep van Engelssprekende regeringen – de VS, het VK, Australië, Canada en Nieuw-Zeeland – hoewel het niet duidelijk is welke specifieke tools hij verkocht of op welke apparaten ze zich richtten.
“Deze zero-day- en exploit-makelaars zijn doorgaans gewetenloos”, zegt Cole. “Ze verkopen aan de hoogste bieder en ze verdubbelen de dip. Velen hebben geen exclusiviteitsregelingen. Dat is zeer waarschijnlijk wat hier is gebeurd.”
“Eén van deze tools kwam in handen van een niet-westerse exploitatiemakelaar, en zij verkochten het aan iedereen die bereid was ervoor te betalen”, besluit Cole. “De geest is uit de fles.”
