Эксперты «Лаборатории Касперского» провели технический анализ кода Coruna. Coruna представляет собой сложный инструмент для кибершпионажа, нацеленный на iPhone. Исследователи установили, что как минимум один компонент Coruna использовался в сложной кибератаке «Операция Триангуляция». Об этой атаке «Лаборатория Касперского» рассказала в 2023 году.

Coruna — это сложный набор инструментов, предназначенный для удалённой компрометации iPhone. Он скрытно определяет модель устройства и версию iOS, выбирает подходящую комбинацию эксплойтов и перехватывает управление смартфоном жертвы. Весь процесс происходит без каких-либо действий со стороны пользователя. Coruna представляет собой модульный набор инструментов, содержащий разные вредоносы (ВПО) в зависимости от цели злоумышленника. Набор ВПО варьируется от шпионажа до кражи криптовалюты.

По словам специалистов из «Лаборатории Касперского», инструмент, который раньше применялся в целевых кампаниях, получил более широкое распространение и выступает угрозой для миллионов устройств на iOS в разных странах. Например, злоумышленники добавили в эксплойт проверки для новых процессоров Apple. Среди них A17, M3, M3 Pro и M3 Max. Все они были выпущены осенью и зимой 2023 года.

Также модифицированный эксплойт включает в себя специфическую проверку для iOS 16.5 beta 4, выпущенную для исправления уязвимостей, о которых «Лаборатория Касперского» сообщала Apple.

В ходе анализа исследователи нашли ещё четыре эксплойта уровня ядра. Эти эксплойты основаны на одном механизме эксплуатации и отсутствовали в «Операции Триангуляция». Два из них были разработаны уже после обнаружения этой кампании.

Как отмечают в исследовании кибербез-специалисты, сходства в коде прослеживаются не только в эксплойтах, но и в других компонентах Coruna. Такие находки позволяют сделать вывод, что этот набор эксплойтов был не составлен из разрозненных частей, а спроектирован единым образом.

Ведущий исследователь Kaspersky GReAT Борис Ларин рассказал, что когда появились первые сообщения о Coruna, нельзя было однозначно подтвердить связь этой кампании с «Операцией Триангуляция». Само по себе использование одних и тех же уязвимостей не может быть доказательством.

Однако технический анализ показал, что Coruna — это не разрозненная компиляция фрагментов, а результат эволюции оригинального фреймворка, используемого в «Операции Триангуляция». Борис Ларин отметил, что глобальный ландшафт угроз продолжает усложняться. Инструмент, созданный для кибершпионажа, теперь может использоваться гораздо шире. Это ставит под угрозу устройства миллионов пользователей по всему миру.

«Лаборатория Касперского» призывает всех владельцев iPhone немедленно установить последние обновления операционной системы. Apple выпустила патчи для уязвимостей, которые эксплуатирует Coruna. Но устройства, на которых они не установлены, остаются под угрозой.

Первыми компаниями, которые публично задокументировали Coruna, стали Google и iVerify в начале марта 2026 года, но следы инструмента замечены в реальных атаках с начала 2025 года.