Google odhalil exploit kit Coruna pro iOS: 23 exploitů a pět chainů pro starší iPhony
NovinkyČlánek

Google odhalil exploit kit Coruna pro iOS: 23 exploitů a pět chainů pro starší iPhony

Technická hodnota frameworku Coruna spočívá především v jeho architektuře. Podle Google jsou jednotlivé exploity propojené prostřednictvím společných nástrojů a modulů, což umožňuje útočníkům flexibilně kombinovat různé exploitační techniky.

Stanislav Novotný|
7. března 2026

Bezpečnostní výzkumníci společnosti Google popsali nový sofistikovaný exploit kit zaměřený na zařízení Apple iPhone. Framework označovaný jako Coruna (také CryptoWaters) obsahuje podle analýzy 23 exploitů a pět kompletních exploit chainů, které umožňují kompromitaci zařízení s verzemi iOS 13.0 až iOS 17.2.1.

Na existenci nástroje upozornila Google Threat Intelligence Group (GTIG). Podle výzkumníků jde o mimořádně komplexní exploit framework pro iOS, který byl zaznamenán v několika různých kampaních během roku 2025.

Důležité je, že většina zneužívaných zranitelností byla již opravena v novějších verzích iOS, takže zařízení s aktuálním systémem nejsou proti známým exploitům z tohoto frameworku zranitelná.

Exploit framework s modulární architekturou

Technická hodnota frameworku Coruna spočívá především v jeho architektuře. Podle Google jsou jednotlivé exploity propojené prostřednictvím společných nástrojů a modulů, což umožňuje útočníkům flexibilně kombinovat různé exploitační techniky.

Po návštěvě kompromitované stránky nejprve JavaScriptový framework provede fingerprinting zařízení. Zjišťuje například:

  • konkrétní model iPhonu
  • přesnou verzi iOS
  • další parametry zařízení

Na základě těchto informací následně načte odpovídající exploit pro WebKit, tedy renderovací jádro používané Safari a dalšími aplikacemi v iOS. Po úspěšném spuštění kódu může být využit také bypass ochrany Pointer Authentication Code (PAC), která má podobným útokům bránit.

Jednou z klíčových zranitelností zneužívaných v těchto útocích je například CVE-2024-23222, typ confusion bug v komponentě WebKit. Apple tuto chybu opravil v lednu 2024 v aktualizaci iOS 17.3 a iPadOS 17.3, stejně jako v iOS 16.7.5 a iPadOS 16.7.5 pro starší podporovaná zařízení.

Exploity kolovaly mezi různými aktéry

Z analýzy Google vyplývá, že exploit kit Coruna se během roku 2025 objevil v rukou několika různých aktérů.

Podle zjištění výzkumníků byl nejprve použit zákazníkem komerční surveillance společnosti. Později byl zaznamenán v operaci připisované státem podporované skupině a následně v kampani finančně motivovaného útočníka působícího z Číny.

Není však známo, jak přesně se exploit kit mezi jednotlivými aktéry dostal. Podle Google však tento případ naznačuje existenci sekundárního trhu s exploity, kde mohou být jednou vyvinuté exploitační techniky dále sdíleny nebo prodávány.

Společnost iVerify v související analýze uvedla, že Coruna představuje výrazný příklad toho, jak se technologie původně vyvinuté pro sofistikovaný spyware mohou postupně dostat do širšího kyberkriminálního ekosystému.

Útoky přes kompromitované weby

Jedna z kampaní byla zaznamenána v červenci 2025, kdy byl exploit framework detekován na doméně cdn.uacounter[.]com. Tento kód byl načítán jako skrytý iFrame na kompromitovaných webových stránkách.

Šlo například o stránky zaměřené na:

  • průmyslové vybavení
  • obchodní nástroje
  • lokální služby
  • e-commerce

Podle Google je tato aktivita spojována se skupinou označovanou jako UNC6353, kterou výzkumníci považují za pravděpodobnou ruskou špionážní operaci.

Framework byl v tomto případě doručován pouze vybraným uživatelům iPhonů z konkrétních geografických oblastí.

Používané exploity zahrnovaly například:

  • CVE-2024-23222
  • CVE-2022-48503
  • CVE-2023-43000

Poslední z nich je zranitelnost typu use-after-free v komponentě WebKit, kterou Apple opravil v iOS 16.6.

Falešné čínské weby a širší nasazení útoku

Další kampaň byla zaznamenána v prosinci 2025. Výzkumníci objevili velké množství falešných webových stránek, převážně souvisejících s finančními službami.

Tyto stránky uživatele přesvědčovaly, aby je otevřeli z iPhonu nebo iPadu „pro lepší uživatelský zážitek“. Po načtení stránky byl do prohlížeče vložen skrytý iFrame, který stáhl exploit kit Coruna.

Na rozdíl od předchozí kampaně zde neexistovalo omezení podle geolokace, což naznačuje pokus o širší nasazení útoku.

Aktivita je připisována skupině označované jako UNC6691.

Malware zaměřený na kryptoměnové peněženky

Po úspěšném exploitu byl do zařízení instalován loader označovaný jako PlasmaLoader (PLASMAGRID).

Tento komponent následně stahoval další moduly z řídicích serverů útočníků a umožňoval například:

  • krádež kryptoměnových peněženek
  • extrakci citlivých dat z aplikací
  • vzdálené spouštění dalšího škodlivého kódu

Mezi cílové aplikace patřily například:

  • Base
  • Bitget Wallet
  • Exodus
  • MetaMask

Malware obsahoval také Domain Generation Algorithm (DGA), který generoval záložní domény s koncovkou .xyz pro případ, že by primární infrastruktura command-and-control nebyla dostupná.

Celkem 23 exploitů pro různé verze iOS

V debug verzi exploit kitu objevili výzkumníci pět kompletních exploit chainů a celkem 23 exploitů, které pokrývají široké spektrum verzí iOS.

Například:

  • Neutron – CVE-2020-27932 (iOS 13)
  • buffout – CVE-2021-30952 (iOS 13 až 15.1.1)
  • jacurutu – CVE-2022-48503 (iOS 15.2 až 15.5)
  • Parallax – CVE-2023-41974 (iOS 16.4 až 16.7)
  • cassowary – CVE-2024-23222 (iOS 16.6 až 17.2.1)

Některé z těchto exploitů byly podle Google použity také v minulých státních operacích, například v kampani známé jako Operation Triangulation.

CISA přidala zranitelnosti do katalogu KEV

Americká agentura CISA reagovala na zjištění 5. března 2026 tím, že několik zneužívaných zranitelností přidala do katalogu Known Exploited Vulnerabilities (KEV).

Konkrétně jde o:

  • CVE-2021-30952
  • CVE-2023-41974
  • CVE-2023-43000

Federální úřady USA musí tyto chyby opravit nejpozději do 26. března 2026.

Jak se chránit

Exploit kit Coruna cílí především na starší nebo neaktualizované verze iOS. Základní ochranou je proto pravidelná aktualizace systému.

Bezpečnostní experti doporučují zejména:

  • udržovat iOS na aktuální verzi
  • zapnout Lockdown Mode u rizikových uživatelů
  • vyhnout se podezřelým webovým stránkám
  • používat aktuální verzi Safari

Zajímavostí je, že exploit framework automaticky ukončuje útok na zařízeních s aktivním Lockdown Mode nebo při použití privátního prohlížení, což naznačuje, že útočníci tyto ochranné mechanismy zohledňují.

Posun v mobilních kyberútocích

Případ Coruna podle bezpečnostních výzkumníků ukazuje širší trend v oblasti mobilní bezpečnosti. Sofistikované exploity, které byly dříve vyhrazené především pro úzce cílené špionážní operace, se postupně mohou dostávat do rukou širšího spektra aktérů.

To zvyšuje riziko, že podobné útoky se v budoucnu mohou objevit častěji i mimo vysoce cílené operace.

Načítání komentářů...

Zůstaňte v obraze

Přihlaste se k odběru našeho newsletteru a získejte nejnovější informace o kybernetické bezpečnosti přímo do vaší e-mailové schránky.

Vaše údaje jsou v bezpečí. Newsletter můžete kdykoliv odhlásit.