Apple iPhone Hacking Kit, das von Spionen verwendet wird, Crypto-Betrügereien könnten US-Geheimdienstursprünge haben

Kurzfassung

• Google hat ein ausgeklügeltes iOS-Exploit-Toolkit namens Coruna entdeckt, das 23 Exploits enthält.
• Das Toolkit wurde von mutmaßlichen russischen Spionen und chinesischen Krypto-Betrügern verwendet.
• Sicherheitsfirma iVerify sagt, dass Hinweise im Code darauf hindeuten, dass es möglicherweise von einem US-Geheimdienstauftragnehmer stammt.

Google’s Threat Intelligence Group (GTIG) hat ein leistungsstarkes iPhone-Hacking-Toolkit entdeckt, das Geräte infizieren kann, wenn ein Nutzer eine bösartige Website besucht. Das bedeutet, dass Malware übertragen werden kann, ohne dass auf etwas geklickt werden muss. Das Framework, genannt „Coruna“, umfasst fünf vollständige iOS-Exploit-Ketten und 23 Schwachstellen, die iPhones mit iOS 13 bis 17.2.1 angreifen. Forscher sagten, einige der Exploits basierten auf bisher unbekannten Techniken, um die Sicherheitsmaßnahmen von Apple zu umgehen.

Coruna Exploit-Kit zielt auf iOS ab.

Coruna nutzt 23 Exploits gegen Apple-Geräte mit iOS 13-17.2.1. Es wird für Spionage und von finanziell motivierten Akteuren zum Diebstahl von Krypto verwendet.

Aktualisieren Sie Ihre iOS-Geräte und erfahren Sie mehr über diese Bedrohung: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (Teil von Google Cloud) (@Mandiant) 3. März 2026

GTIG identifizierte erstmals Anfang 2025 Teile des Toolkits in einer Exploit-Kette, die von einem Kunden eines anonymen kommerziellen Überwachungsanbieters verwendet wurde. Der Code nutzte ein JavaScript-Framework, das Geräte fingerprintte, um das iPhone-Modell und die Betriebssystemversion zu bestimmen, bevor es einen maßgeschneiderten Exploit auslieferte. Das gleiche Framework tauchte später Mitte 2025 auf kompromittierten ukrainischen Websites auf. Google ordnete diese Kampagne einer mutmaßlichen russischen Spionagegruppe UNC6353 zu, die versteckte Iframes nutzte, um gezielt iPhone-Besucher anzugreifen. Später im Jahr entdeckten Forscher das Toolkit erneut auf Hunderten chinesischer Websites, die mit Krypto- und Finanzbetrug in Verbindung stehen. Diese Seiten versuchten, Opfer mit iOS-Geräten anzulocken, bevor sie das Exploit-Kit injizierten. Der Bericht sagte, die von Coruna genutzten Schwachstellen seien inzwischen in neueren Versionen von Apples mobilem Betriebssystem behoben worden, und forderte Nutzer auf, ihre Geräte zu aktualisieren. Das Exploit-Kit funktioniert nicht gegen die neuesten iOS-Versionen. Mögliche US-Ursprünge Obwohl der GITG-Bericht den ursprünglichen Überwachungsanbieter oder den Entwickler des Kits nicht namentlich nennt, sagten Forscher der Sicherheitsfirma iVerify, dass Elemente des Codes auf mögliche US-Ursprünge hindeuten.

„Es ist hochentwickelt, hat Millionen von Dollar gekostet, um es zu entwickeln, und trägt die Merkmale anderer Module, die öffentlich der US-Regierung zugeschrieben werden“, sagte Rocky Cole, Mitbegründer von iVerify, gegenüber WIRED. Er fügte hinzu, dass es das erste Beispiel sei, das das Unternehmen entdeckt habe, bei dem „sehr wahrscheinlich US-Regierungstools“ von Gegnern und Cyberkriminellen übernommen wurden, nachdem sie „außer Kontrolle geraten sind“. iVerify schätzte, dass nach Analyse des Traffics zu Command-and-Control-Servern, die mit chinesischsprachigen Betrugswebsites verbunden sind, etwa 42.000 Geräte in nur einer Kampagne kompromittiert wurden. Das Toolkit zielt auf Schwachstellen im WebKit-Browser-Engine von Apple ab und umfasst einen Loader, der je nach Gerätemodell und Betriebssystemversion unterschiedliche Exploit-Ketten ausliefert. Die Payloads sind verschlüsselt, komprimiert und in einem benutzerdefinierten Dateiformat verpackt, um Erkennung zu vermeiden. „iPhone-Nutzer werden dringend aufgefordert, ihre Geräte auf die neueste iOS-Version zu aktualisieren“, sagte GTIG. Zusätzlich könne der Lockdown-Modus von Apple zusätzlichen Schutz bieten, falls ein Update nicht möglich ist.