Набір для зламу iPhone від Apple, який використовують шпигуни, криптовалютні шахрайства можуть мати походження в американських розвідках

Коротко

• Google виявила складний набір для зломів iOS під назвою Coruna, що містить 23 експлойти.
• Цей інструментарій використовували підозрювані російські шпигуни та китайські шахраї у криптовалютній сфері.
• Компанія безпеки iVerify стверджує, що підказки у коді свідчать про можливе походження з американського розвідувального контрактника.

Група Threat Intelligence Group (GTIG) Google виявила потужний інструментарій для зломів iPhone, здатний інфікувати пристрої, коли користувач відвідує зловмисний сайт, що означає, що шкідливе програмне забезпечення може передаватися без натискання будь-яких посилань. Цей фреймворк, названий “Coruna,” включає п’ять повних ланцюжків експлойтів для iOS та 23 уразливості, спрямовані на iPhone з iOS 13 до 17.2.1. Дослідники зазначили, що деякі з експлойтів використовують раніше невідомі техніки обходу захисту Apple.

Експлойт-кіт Coruna націлений на iOS.

Coruna використовує 23 експлойти проти пристроїв Apple з iOS 13-17.2.1. Його застосовують для шпигунства та для крадіжки криптовалюти з фінансових мотивів.

Оновіть свої пристрої iOS та дізнайтеся більше про цю загрозу: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (частина Google Cloud) (@Mandiant) 3 березня 2026 року

GTIG вперше виявила частини інструментарію на початку 2025 року у ланцюжку експлойтів, який використовував клієнт невідомого комерційного слідчого сервісу. Код використовував JavaScript-фреймворк, що ідентифікував пристрій для визначення моделі iPhone та версії операційної системи перед доставкою адаптованого експлойту. Пізніше цей самий фреймворк з’явився на зламаних українських сайтах у середині 2025 року. Google приписала цю кампанію групі UNC6353, підозрюваній у російській шпигунській діяльності, яка використовувала приховані iframe для цільового обстрілу відвідувачів iPhone. Згодом у тому ж році дослідники знову виявили інструментарій на сотнях сайтів китайською мовою, пов’язаних із шахрайськими схемами у криптовалюті та фінансах. Ці сайти намагалися заманити жертв відвідати їх з iOS-пристроїв перед запуском експлойт-кіта. У звіті зазначено, що уразливості, використані Coruna, згодом були виправлені у нових версіях мобільної операційної системи Apple, і закликали користувачів оновити свої пристрої. Експлойт-кіт не працює з останніми версіями iOS.

Можливе походження з США Хоча у звіті GTIG не вказано початкового клієнта або розробника інструментарію, дослідники компанії iVerify, що займається мобільною безпекою, зазначили, що елементи коду натякають на можливе походження з США.

“Це дуже складний інструмент, його розробка коштувала мільйони доларів, і він має ознаки інших модулів, які публічно приписують уряду США,” — сказав співзасновник iVerify Rocky Cole у WIRED. Він додав, що це перший випадок, коли компанія виявила “дуже ймовірні інструменти уряду США,” які були прийняті опонентами та кіберзлочинними групами після “виходу з-під контролю.”  iVerify оцінює, що приблизно 42 000 пристроїв були зламані лише у одній кампанії після аналізу трафіку до командно-контрольних серверів, пов’язаних із сайтами шахрайських схем китайською мовою, що поширювали експлойти. Інструментарій націлений на уразливості браузерного движка WebKit від Apple і включає завантажувач, який розгортає різні ланцюжки експлойтів залежно від моделі пристрою та версії ОС. Вміст зашифрований, стиснений і доставляється у власному форматі файлу, щоб уникнути виявлення. “Користувачам iPhone настійно рекомендується оновити свої пристрої до останньої версії iOS,” — заявила GTIG, додавши, що режим Lockdown від Apple може забезпечити додатковий захист, якщо оновлення неможливе.