Wie das iOS-Exploit-Kit Coruna zum Werkzeug staatlicher und krimineller Akteure wurde

Googles Threat Intelligence Group (GTIG) hat ein umfangreiches iOS-Exploit-Kit namens „Coruna“ dokumentiert, das Sicherheitslücken in Apple-Geräten über einen Zeitraum von mehr als vier Jahren ausnutzt. Das Kit durchlief dabei eine ungewöhnliche Verbreitungsgeschichte: Es wurde zunächst von einem Kunden eines kommerziellen Überwachungsanbieters eingesetzt, tauchte dann bei gezielten russischen Angriffen auf ukrainische Nutzer auf und wurde schließlich in groß angelegten Betrugsoperationen chinesischer Cyberkrimineller verwendet. Die Spur des Kits zeichnet ein aufschlussreiches Bild eines aktiven Sekundärmarkts für hochwertige Angriffswerkzeuge.

Hintergrund und Entdeckung

Im Februar 2025 erfasste GTIG erstmals Teile einer iOS-Exploit-Kette, die im Auftrag eines kommerziellen Überwachungsanbieters eingesetzt wurde. Dabei fiel ein bislang unbekanntes JavaScript-Framework auf, das spezifische, aber technisch eigenständige Verschleierungstechniken nutzte. Das Framework funktioniert dabei nach einem klaren Ablaufprinzip: Zunächst analysiert es das Zielgerät auf Echtheit, Modell und iOS-Version. Anschließend wird passend dazu ein WebKit-Exploit zur Remote-Code-Ausführung (RCE) sowie ein Bypass für den sogenannten Pointer Authentication Code (PAC) ausgeliefert.

Bei einem der erfassten Angriffe auf ein Gerät mit iOS 17.2 stellte GTIG fest, dass der eingesetzte WebKit-RCE der Schwachstelle CVE-2024-23222 entsprach – einer Lücke, die Apple am 22. Januar 2024 mit iOS 17.3 still geschlossen hatte, ohne externe Sicherheitsforscher zu nennen. Die Schwachstelle war zum Zeitpunkt ihrer Ausnutzung bereits als Zero-Day bekannt.

Grafik Quelle:Google

Technischer Aufbau des Exploit-Kits

Das Coruna-Kit richtet sich gegen iPhone-Modelle mit iOS 13.0 (September 2019) bis iOS 17.2.1 (Dezember 2023) und umfasst insgesamt:

• 5 vollständige iOS-Exploit-Ketten
• 23 einzelne Exploits
• Nicht öffentlich bekannte Exploit-Techniken sowie Bypässe für bestehende Schutzmaßnahmen

Das Framework zeigt eine durchdachte technische Architektur. Besonders auffällig ist, dass das Kit die Ausführung abbricht, sobald es erkennt, dass der Lockdown-Modus auf dem Zielgerät aktiv ist oder der Nutzer im privaten Browsermodus surft. Ressourcen-URLs werden nicht direkt hinterlegt, sondern über einen individuellen Hash-Wert nach dem Muster sha256(COOKIE + ID)[:40] dynamisch generiert. Die End-Payloads selbst sind mit dem ChaCha20-Algorithmus verschlüsselt, in einem proprietären Dateiformat verpackt, das mit dem Header 0xf00dbeef beginnt, und anschließend mit dem Lempel-Ziv-Welch-Algorithmus (LZW) komprimiert.

Ein weiteres Modul – intern als rwx_allocator bezeichnet – kombiniert mehrere Techniken, um Schutzmechanismen zu umgehen, die die Zuweisung von RWX-Speicherseiten im Userland verhindern sollen. Kernel-Exploits verfügen zusätzlich über Module zur Umgehung kernelbasierter Schutzmechanismen, darunter Kernel-Mode PAC.

Zwei der enthaltenen Exploit-Module – intern „Photon“ und „Gallium“ genannt – greifen auf Schwachstellen zurück, die bereits im Rahmen der 2023 von Kaspersky aufgedeckten „Operation Triangulation“ als Zero-Days eingesetzt wurden. Dies deutet darauf hin, dass bestimmte Exploit-Techniken modular weiterentwickelt und auf neue Schwachstellen angepasst werden.

Grafik Quelle:Google

Einsatz durch staatlich verbundene Gruppen: Ukraine im Visier

Im Sommer 2025 wurde dasselbe JavaScript-Framework auf einer Vielzahl kompromittierter ukrainischer Webseiten identifiziert. Das Kit wurde über die Domain cdn.uacounter[.]com als versteckter iFrame eingebunden und war auf zahlreichen Seiten unterschiedlichster Branchen aktiv – von Webauftritten industrieller Betriebe über Einzelhandelsangebote bis hin zu lokalen Dienstleistungsseiten und E-Commerce-Plattformen. Das Framework lieferte die Exploits dabei nicht wahllos aus, sondern selektiv an iPhone-Nutzer aus einem bestimmten geografischen Gebiet.

GTIG erfasste in diesem Zeitraum mehrere WebKit-RCE-Exploits, darunter CVE-2024-23222, CVE-2022-48503 und CVE-2023-43000, bevor der Server offline ging. Laut Google steckt hinter dieser Kampagne die Gruppe UNC6353, die als mutmaßlich russisch gesteuerter Spionageakteur eingestuft wird. CERT-UA wurde umgehend informiert und koordinierte gemeinsam mit GTIG die Bereinigung der betroffenen Webseiten.

Massenverteilung über gefälschte chinesische Finanzseiten

Gegen Ende des Jahres 2025 tauchte das identische Framework erneut auf – diesmal im Kontext einer deutlich breiteren Kampagne. Auf einer großen Anzahl gefälschter chinesischer Webseiten mit Finanz- und Kryptobezug wurde das gleiche iOS-Exploit-Kit eingesetzt. Die Seiten waren darauf ausgelegt, Besucher gezielt zur Nutzung von iOS-Geräten zu bewegen. Eine der nachgebildeten Plattformen imitierte etwa die Kryptobörse WEEX.

Anders als bei der Ukraine-Kampagne lieferten die Seiten das Exploit-Kit unabhängig vom Standort des Nutzers über versteckte iFrames aus. Über eine versehentlich eingesetzte Debug-Version des Kits gelangte GTIG schließlich an die internen Codenamen der Exploits – und damit an die Bezeichnung „Coruna“ für das gesamte Kit. Insgesamt sammelte GTIG einige hundert Samples, die fünf vollständige Exploit-Ketten abdecken.

Verantwortlich für diese Kampagne ist laut Google die Gruppe UNC6691 – ein finanziell motivierter Bedrohungsakteur mit Bezug zu China.

Ziel: Kryptowährungs-Wallets und Finanzdaten

Die End-Payload – ein Stager namens PlasmaLoader, von GTIG intern als PLASMAGRID geführt – nutzt com.apple.assistd als Tarnidentifikator und injiziert sich nach erfolgreicher Ausnutzung in den iOS-Systemprozess powerd, der unter iOS mit Root-Rechten ausgeführt wird.

Im Unterschied zu klassischer Überwachungssoftware zielt das Implantat nicht auf Kommunikationsdaten oder Standortinformationen ab, sondern konzentriert sich auf finanzielle Informationen:

• Dekodierung von QR-Codes aus lokal gespeicherten Bildern
• Analyse von Textblöcken in Apple Memos auf BIP39-Wortfolgen sowie Begriffe wie „Backup-Phrase“ oder „Bankkonto“
• Exfiltration von Daten aus 18 Kryptowährungs-Anwendungen, darunter MetaMask, Trust Wallet, Phantom, Exodus, Tonkeeper und weitere

Zusätzliche Module können per Fernzugriff nachgeladen werden. Die Konfiguration dafür wird von einer C2-URL im Format http://<C2 URL>/details/show.html abgerufen; Module und Konfigurationsdaten sind als passwortgeschützte 7-ZIP-Archive verpackt.

Als Rückfallmechanismus ist ein Domain-Generation-Algorithmus (DGA) eingebettet, der die Zeichenfolge „lazarus“ als Startwert verwendet, um eine Liste vorhersehbarer 15-stelliger Ausweich-Domains mit der TLD .xyz zu generieren. Zur Überprüfung aktiver Domains nutzt das Implantat den öffentlichen DNS-Resolver von Google. Die Netzwerkkommunikation erfolgt verschlüsselt über HTTPS; gesammelte Daten werden per POST mit AES übermittelt, wobei der SHA256-Hashwert einer statischen Zeichenfolge als Schlüssel dient.

Auffällig ist zudem, dass sämtliche identifizierten Module chinesischsprachige Protokolleinträge enthalten. Einzelne Kommentare im Code enthalten Emojis und weisen einen Schreibstil auf, der auf den Einsatz eines Large Language Models (LLM) bei der Code-Erstellung hindeutet.

Einordnung: Ein Markt für weitergegebene Exploits

GTIG bewertet das Coruna-Kit als konkreten Beleg dafür, dass hochentwickelte Angriffswerkzeuge zunehmend den Besitzer wechseln und von verschiedenen Akteuren mit unterschiedlichen Zielsetzungen wiederverwendet werden. Wie das Kit vom ursprünglichen Überwachungsanbieter-Kunden zu einer mutmaßlich russischen Spionagegruppe und anschließend zu chinesischen Cyberkriminellen gelangte, ist bislang nicht abschließend geklärt. Google spricht jedoch von Hinweisen auf einen aktiven Markt für bereits eingesetzte Zero-Day-Exploits.

Die technische Analyse ist noch nicht vollständig abgeschlossen. GTIG kündigte weitere Veröffentlichungen sowie detaillierte Root Cause Analyses (RCAs) zu einzelnen Komponenten an.

Empfehlungen

• Sofortiges Update auf die aktuelle iOS-Version – Coruna entfaltet gegen aktuelle Versionen keine Wirkung
• Aktivierung des Lockdown-Modus, sofern ein Update nicht möglich ist
• Alle bekannten Domains und Websites wurden in Googles Safe-Browsing-Datenbank aufgenommen

Empfehlung:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk