Smartphones

Coruna : Un outil d’espionnage d’iPhone lié au gouvernement américain récupéré par des cybercriminels

Un kit d’exploitation sophistiqué ciblant les iPhone, surnommé Coruna, aurait été développé à l’origine par ou pour le gouvernement américain avant de se retrouver dans les mains d’acteurs étrangers et de groupes criminels. Selon les analyses publiées par la société de sécurité mobile iVerify et le Google Threat Intelligence Group, l’outil aurait déjà compromis environ 42 000 appareils.

ios 18 photos

Des chercheurs en cybersécurité ont mis au jour ce que Google et iVerify décrivent comme la première campagne de piratage de masse connue ciblant les iPhones. L’outil en question, nommé Coruna, est capable d’infecter silencieusement des appareils Apple sous d’anciennes versions d’iOS pour voler des cryptomonnaies, des photos et des e-mails.

Un outil redoutable construit par un professionnel chevronné

Coruna se présente comme un kit d’exploitation complet, comprenant cinq chaînes d’attaque distinctes et un total de 23 vulnérabilités ciblant iOS 13 jusqu’à iOS 17.2.1, soit des versions publiées entre septembre 2019 et décembre 2023.

Le rapport technique de Google Threat Intelligence Group (GTIG), détaille la mécanique précise du kit : il commence par identifier le modèle exact d’iPhone visé, puis déploie l’exploit adapté pour prendre le contrôle du navigateur Safari avant de s’ancrer plus profondément dans le système.

La qualité du code a particulièrement frappé les analystes. Les experts estiment que l’ensemble du framework a été rédigé par un seul auteur. Le code contient une documentation interne extensive, avec des commentaires rédigés en anglais courant, ce qui renforce la thèse d’une origine occidentale, voire américaine.

Des origines qui pointent vers le gouvernement américain

IVerify affirme que cet outil porte les caractéristiques d’autres outils publiquement attribués aux services de renseignement américains. Le kit partage notamment des composants avec l’opération Triangulation, une campagne de cyberespionnage que la Russie avait officiellement attribuée aux hackers de la NSA.

Nous avons trouvé un outil très probablement développé par un État, très probablement développé par ou pour le gouvernement américain, qui a effectué un voyage étrange à travers des courtiers en zero-days aux quatre coins du monde.

Rocky Cole, cofondateur d’iVerify et ancien employé de la NSA

Il précise cependant qu’il ne base aucune conclusion sur ses anciens accès à la NSA, dont il a quitté les rangs depuis plus d’une décennie. Ni la NSA ni Apple n’ont fourni de commentaire officiel au moment de la publication des analyses.

Comment l’outil s’est retrouvé dans de mauvaises mains

Le parcours de Coruna illustre le danger systémique lié aux outils offensifs développés par les États. Selon les chercheurs, le kit est passé d’un usage probablement gouvernemental contrôlé à un outil vendu sur le marché noir, avant d’être repris et modifié par des groupes criminels.

Google a retracé cette trajectoire en trois étapes. En février 2025, des fragments du kit ont été détectés dans des opérations menées par un client d’une société de surveillance commerciale. À l’été 2025, une version plus aboutie a été utilisée dans des attaques contre des sites ukrainiens, dans le cadre d’une opération attribuée au groupe UNC6353, suspecté d’être lié aux services de renseignement russes. Puis, à la fin de la même année, une version criminalisée a été déployée massivement sur de faux sites financiers en langue chinoise. Cole pointe la responsabilité des courtiers en zero-days :

Ces courtiers en zero-days et en exploits ont tendance à être sans scrupules. Ils vendent au plus offrant et revendent plusieurs fois. Beaucoup n’ont pas de clauses d’exclusivité. C’est très probablement ce qui s’est passé ici.

Ce que fait concrètement le malware

Dans sa version criminelle, Coruna installe un implant nommé PlasmaLoader qui se glisse dans un processus système tournant en tant qu’administrateur. Une fois en place, il est capable de :

  • Vider les portefeuilles de cryptomonnaies en ciblant des dizaines d’applications populaires (MetaMask, Phantom, Trust Wallet, Uniswap, etc.)
  • Analyser les photos stockées sur l’appareil à la recherche de phrases de récupération de portefeuilles ou de codes QR
  • Exfiltrer des e-mails et des mémos contenant des informations sensibles
  • Télécharger et exécuter des modules malveillants supplémentaires à distance

Curiosa, l’ensemble du code criminel ajouté par-dessus le kit Coruna original est décrit comme mal écrit, contrastant fortement avec la qualité du framework de base, ce qui confirme selon les chercheurs que les deux parties ont été développées par des acteurs distincts.

Qui est vulnérable et que faire

L’attaque cible exclusivement les failles du moteur de navigation WebKit, utilisé par Safari. Les iPhones sous iOS 17.3 ou une version plus récente ne sont plus vulnérables, Apple ayant corrigé les failles exploitées. Par ailleurs, le kit vérifie si le mode Isolement (Lockdown Mode) est activé sur l’appareil et renonce à l’attaque dans ce cas.

IVerify a rendu son application Basic gratuite temporairement pour permettre à tout utilisateur de vérifier si son appareil a été compromis. Pour les iPhones trop anciens pour accéder à iOS 26, le risque demeure réel si les mises à jour disponibles n’ont pas été appliquées.

Publié le par Sylvain

Dernières actualités

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Soyez le premier à poster un commentaire

Partagez votre avis et participez à la discussion en laissant un commentaire ci-contre.