Набор для взлома iPhone от Apple, используемый шпионами, и криптовалютные мошенничества могут иметь происхождение в американской разведке

Вкратце

• Google выявила сложный набор эксплойтов для iOS под названием Coruna, содержащий 23 уязвимости.
• Этот инструмент использовали предполагаемые российские шпионы и китайские мошенники в криптовалютной сфере.
• Компания по безопасности iVerify утверждает, что подсказки в коде указывают на возможное происхождение из американского разведывательного подрядчика.

Группа Threat Intelligence Google (GTIG) обнаружила мощный набор для взлома iPhone, способный заражать устройства при посещении пользователем вредоносного сайта, что означает передачу вредоносного ПО без необходимости клика по чему-либо. Этот фреймворк, получивший название “Coruna”, включает пять полных цепочек эксплойтов для iOS и 23 уязвимости, нацеленные на iPhone с iOS 13 по 17.2.1. Исследователи сообщили, что некоторые из эксплойтов используют ранее не виданные техники обхода защитных механизмов Apple.

Эксплойт-набор Coruna нацелен на iOS.

Coruna использует 23 уязвимости против устройств Apple с iOS 13-17.2.1. Он применяется для шпионажа и финансово мотивированных действий по краже криптовалют.

Обновите свои устройства iOS и узнайте больше об этой угрозе: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (часть Google Cloud) (@Mandiant) 3 марта 2026 г.

GTIG впервые обнаружила части набора в начале 2025 года в цепочке эксплойтов, используемой клиентом анонимного коммерческого слежения. В коде использовался JavaScript-фреймворк, который определял модель iPhone и версию операционной системы перед доставкой индивидуального эксплойта. Позже этот же фреймворк появился на скомпрометированных украинских сайтах в середине 2025 года. Google связала эту кампанию с UNC6353, предполагаемой российской группой шпионажа, которая использовала скрытые iframe для выборочного нападения на посещающие iPhone пользователи. Позже в этом году исследователи обнаружили этот набор снова на сотнях сайтов на китайском языке, связанных с мошенничеством в криптовалюте и финансах. Эти сайты пытались заманить жертв посетить их с помощью устройств iOS, после чего внедряли эксплойт-набор. В отчёте говорится, что уязвимости, используемые Coruna, с тех пор были исправлены в новых версиях мобильной операционной системы Apple, и призывают пользователей обновлять свои устройства. Эксплойт-набор не работает с последними версиями iOS. Возможное происхождение из США Хотя в отчёте GTIG не указано, кто именно является заказчиком или разработчиком этого набора, специалисты по мобильной безопасности из iVerify считают, что некоторые элементы кода указывают на возможное американское происхождение.

“Это очень сложный инструмент, его разработка стоила миллионы долларов, и он обладает признаками других модулей, которые публично связывают с правительством США,” — заявил соучредитель iVerify Rocky Cole в WIRED. Он добавил, что это первый случай, когда фирма обнаружила “вероятно, инструменты правительства США”, которые были приняты злоумышленниками и киберпреступными группами после “выхода из-под контроля”.  iVerify оценило, что примерно 42 000 устройств были скомпрометированы всего за одну кампанию после анализа трафика к серверам командования и управления, связанным с сайтами мошенничества на китайском языке, распространяющими эксплойты. Инструмент нацелен на уязвимости в браузерном движке WebKit от Apple и включает загрузчик, который разворачивает разные цепочки эксплойтов в зависимости от модели устройства и версии ОС. Исполняемые файлы зашифрованы, сжаты и доставляются в пользовательском формате файла, предназначенном для обхода обнаружения. “Пользователям iPhone настоятельно рекомендуется обновить свои устройства до последней версии iOS,” — заявил GTIG, добавив, что режим Lockdown Mode от Apple может обеспечить дополнительную защиту, если обновление невозможно.