Alerte sécurité iPhone : le piratage de Coruna vise les phrases de récupération de portefeuille crypto

• Des chercheurs de Google ont découvert que le kit d’exploitation Coruna cible les iPhones fonctionnant sous iOS versions 13 à 17.
• La boîte à outils contient 23 exploits et cinq chaînes complètes attaquant des appareils Apple.
• Les pirates ont utilisé des sites web compromis et de fausses pages crypto pour infecter des iPhones ciblés.

Une boîte à outils sophistiquée de piratage capable de pénétrer dans les iPhones Apple a émergé dans des opérations d’espionnage et des campagnes de cybercriminalité financière, montrant comment la technologie de surveillance avancée peut finalement s’étendre à une utilisation criminelle plus large.

Chercheurs de Google Threat Intelligence Group affirme que le kit d’exploitation, appelé en interne « Coruna », cible les iPhones fonctionnant sous iOS versions 13.0 à 17.2.1, couvrant les appareils sortis entre 2019 et fin 2023.

La boîte à outils contient cinq chaînes d’exploitation complètes et 23 vulnérabilités distinctes, permettant aux attaquants de franchir plusieurs couches du système de sécurité d’Apple et de prendre le contrôle d’un appareil.

Comment fonctionnaient les attaques

Le kit d’exploitation Coruna utilise une attaque web sophistiquée. Lorsqu’un utilisateur visite un site web compromis, un code JavaScript caché scanne d’abord l’appareil pour déterminer le modèle de l’iPhone et la version du système d’exploitation.

Sur la base de ces informations, l’attaque charge automatiquement la bonne chaîne d’exploits.

L’une des principales vulnérabilités utilisées lors des attaques était CVE-2024-23222, une faille WebKit corrigée plus tard par Apple dans iOS 17.3.

La chaîne d’exploits contourne alors plusieurs protections intégrées à iOS, installant finalement un chargeur qui communique avec des serveurs de commande et de contrôle distants.

En lien : Les marchés crypto tiennent bon alors que le risque géopolitique frappe les actions et le pétrole

Le parcours inhabituel de l’attaque

Ce qui rend Coruna particulièrement remarquable, c’est son apparition dans des opérations cyber très différentes tout au long de 2025.

Début 2025 : Utilisation de la surveillance

Les premières traces ont été découvertes en février 2025, lorsque des chercheurs ont observé un client d’un fournisseur de surveillance commerciale utilisant une partie de la chaîne d’exploits. L’attaque utilisait un cadre JavaScript personnalisé avec des techniques d’obfuscation conçues pour masquer le code d’exploitation.

Mi-2025 : Opérations d’espionnage

À l’été 2025, le même cadre est apparu sur plusieurs sites web ukrainiens compromis.

Les scripts malveillants étaient insérés dans les pages via des iframes cachés, lançant des attaques ciblées sur les iPhones des visiteurs. Les analystes de la sécurité estiment que ces opérations étaient liées à un groupe d’espionnage russe présumé.

Fin 2025 : Criminalité financière

Plus tard dans l’année, des chercheurs ont découvert que le kit d’exploitation complet était déployé sur des centaines de faux sites financiers et de cryptomonnaies chinois.

Cibler les portefeuilles crypto

Contrairement à de nombreux outils de surveillance axés sur la surveillance des communications, la charge utile finale de Coruna semble conçue pour voler des informations financières.

Le malware analyse l’appareil pour :

• Termes de récupération des cryptomonnaies
• Fichiers de sauvegarde portefeuille
• Informations bancaires
• Texte sensible stocké dans Apple Notes

Malgré sa complexité, le kit d’exploitation ne fonctionne plus sur les versions iOS les plus récentes. Les experts en sécurité recommandent aux utilisateurs d’iPhone de mettre à jour immédiatement leurs appareils et d’activer des protections avancées telles que le mode Lockdown s’ils estiment qu’ils pourraient être ciblés.

En lien : Le PDG de Goldman Sachs affirme que les tensions au Moyen-Orient pourraient mettre des pressions sur la crypto pendant des semaines