Coruna, un kit d’exploits iOS issu de logiciels espions, utilisé pour vider des portefeuilles crypto

Le Google Threat Intelligence Group (GTIG) et la société de cybersécurité iVerify ont publié, le 3 mars 2026, une analyse de Coruna, un kit d’exploits ciblant des vulnérabilités affectant les versions d’iOS inférieures à 17.3. Les chercheurs l’ont identifié successivement dans trois contextes. À l’origine, une société vendant des logiciels espions à des gouvernements l’a développé et s’en est servi dans des opérations de surveillance étatique.

Les vulnérabilités exploitées par Coruna étaient alors inconnues d’Apple, qui les a corrigées en 2024. Ensuite, l’acteur étatique russe UNC6353 a utilisé ce kit dans des attaques par « point d’eau » contre des utilisateurs ukrainiens. Les chercheurs l’ont enfin identifié dans des campagnes de phishing menées par le groupe cybercriminel chinois UNC6691, visant des portefeuilles de cryptomonnaie de particuliers.

Coruna s’appuie sur plusieurs vulnérabilités et choisit automatiquement la plus adaptée à la version d’iOS et au modèle d’appareil visé. Le kit permet d’injecter un implant malveillant directement dans le processus « powerd », un service racine d’iOS, lui conférant des privilèges étendus tout en demeurant indétectable.

Coruna est inopérant sur les versions d’iOS supérieures à 17.3, si bien que les logiciels espions ne l’utilisent plus. Des cybercriminels l’ont donc recyclé afin de compromettre les iPhones de particuliers ayant omis de mettre à jour leur OS. Selon le GTIG, ce cas illustre le « voyage » d’un kit d’exploits, de la surveillance gouvernementale à la cybercriminalité financière, en passant par les attaques d’acteurs étatiques.