Thomas Kramer
Thomas Kramer

Coruna: Das Exploit-Kit, das iPhones im großen Stil knackt

Thomas Kramer enthalten in Security
 1000 Wörter (ungefähr) 5 Minuten 

Von der Spionage zum Massenangriff in unter einem Jahr

Ein iPhone ist sicher: das war lange das Mantra. Apple hat in den letzten Jahren viel dafür getan, diesen Ruf zu verteidigen: Sandbox-Architektur, Pointer Authentication Codes (PAC), Lockdown Mode. Und dann kommt ein Exploit-Kit daher, das all diese Maßnahmen auf älteren iOS-Versionen systematisch umgeht.

Coruna heißt das Werkzeug, benannt von seinen eigenen Entwicklern (der Name taucht im Quellcode auf). Google’s Threat Intelligence Group (GTIG) hat es entdeckt und gemeinsam mit der Sicherheitsfirma iVerify analysiert. Was sie gefunden haben, ist beunruhigend.

23 Exploits, 5 Angriffsketten, iOS 13 bis 17.2

Coruna ist kein einzelner Exploit, sondern ein komplettes Arsenal. Das Kit enthält:

  • 23 individuelle Exploits für verschiedene iOS-Schwachstellen
  • 5 vollständige Exploit-Chains, jeweils angepasst an unterschiedliche iOS-Versionen
  • Abdeckung von iOS 13.0 bis iOS 17.2.1 (September 2019 bis Dezember 2023)

Der Angriff funktioniert als 1-Click-Attack: Ein einziger Tap auf einen Link in Safari reicht. Das Kit fingerprinted zuerst das Gerät (welches iPhone-Modell, welche iOS-Version) und liefert dann automatisch die passende Exploit-Chain aus. Zuerst wird eine WebKit-Lücke ausgenutzt, dann arbeitet sich die Malware durch verschiedene Eskalationsstufen bis zur vollen Geräte-Kontrolle.

Was Coruna besonders gefährlich macht: Das Kit versucht aktiv, seine Spuren zu verwischen. Es vermeidet Logeinträge, maskiert seinen Code und beendet sich sogar selbst, wenn das iPhone im Lockdown Mode ist oder Safari im privaten Modus läuft (offenbar um einer Entdeckung zu entgehen).

Die Reise: Spione → Staat → Kriminelle

Die Geschichte von Coruna zeigt, wie Cyberwaffen den Besitzer wechseln, und dabei immer gefährlicher werden:

Februar 2025 – Kommerzieller Surveillance-Anbieter: GTIG entdeckt erste Teile des Kits bei einem Kunden eines kommerziellen Überwachungsunternehmens. Klassisches Szenario: Ein Staat kauft Spionage-Tools von einer Firma, die solche Werkzeuge legal (oder halblegal) verkauft.

Sommer 2025 – Russische Spionage in der Ukraine: Dasselbe Framework taucht als verstecktes iFrame auf kompromittierten ukrainischen Websites auf: Industrieausrüster, Einzelhändler, E-Commerce. Die Gruppe UNC6353, mutmaßlich russischer Herkunft, nutzt Coruna für gezielte Watering-Hole-Angriffe. Google arbeitet mit dem ukrainischen CERT-UA zusammen, um die infizierten Seiten zu bereinigen.

Ende 2025 – Chinesische Cyberkriminelle: Jetzt wird es richtig breit. Die Gruppe UNC6691, finanziell motiviert und offenbar aus China operierend, setzt Coruna für Massenangriffe ein. Gefälschte Kryptobörsen-Websites, Wallet-Diebstahl, Passwort-Harvesting. Aus dem Präzisionswerkzeug ist eine Schrotflinte geworden.

Google schreibt dazu: “Wie diese Proliferation stattgefunden hat, ist unklar, aber es deutet auf einen aktiven Markt für ‘gebrauchte’ Zero-Day-Exploits hin.”

Was Coruna mit einem infizierten iPhone anstellen kann

Alles. Das ist die kurze Antwort.

Die längere: Coruna installiert sogenannte „Implants", die volle Kontrolle über das Gerät bekommen. Laut iVerify (die das Kit unter dem Namen „CryptoWaters" tracken) enthält es Module für:

  • Nachrichten auslesen: iMessage, WhatsApp
  • Fotos scannen: auch nach QR-Codes in Bildern
  • Apple Notes durchsuchen: nach Seed Phrases, “Backup Phrase”, “Bank Account”
  • Krypto-Wallets stehlen
  • Passwörter und Zugangsdaten abgreifen
  • Standort, Kontakte, Anrufprotokolle: das volle Programm

Der Sicherheitsforscher Billy Ellis hat sich auf YouTube selbst ein Testgerät infizieren lassen und den Datenverkehr über einen MITM-Proxy mitgeschnitten. Die Ergebnisse bestätigen: Coruna bekommt die komplette Kontrolle.

Wer steckt dahinter?

Das ist die große Frage, und die Antwort ist unbequem. Rocky Cole, Gründer von iVerify, sagte gegenüber Wired, er glaube, dass die US-Regierung hinter der ursprünglichen Entwicklung von Coruna stecken könnte. Die Code-Kommentare im Exploit-Kit sind auf Englisch, die Exploit-Namen (buffout, bluebird, terrorbird, cassowary) ebenso. Die chinesischen Code-Kommentare tauchen erst in den später entwickelten Implant-Modulen auf. Das deutet darauf hin, dass verschiedene Akteure zu verschiedenen Zeiten am Kit gearbeitet haben.

Ob diese These stimmt, ist nicht bewiesen. Klar ist aber: Jemand mit sehr viel Ressourcen hat dieses Kit über Jahre entwickelt und gepflegt. 23 Exploits für 5 iOS-Versionen zu entwickeln und zu maintainen ist keine Wochenendarbeit.

Apple reagiert, spät, aber immerhin

Apple hat in der Nacht zum 12. März Notfall-Updates für iOS 15 und iOS 16 veröffentlicht, um die letzten von Coruna ausgenutzten Lücken zu schließen. Auf aktuellen iOS-Versionen (ab 17.5) funktioniert das Kit laut GTIG nicht mehr. Aber:

  • Millionen von iPhones weltweit laufen noch auf iOS 15 oder 16
  • Ältere Geräte (iPhone 7, 8, X) können gar nicht auf iOS 17 updaten
  • Die Exploit-Entwickler könnten bereits nachgerüstet haben

Was bedeutet das für iPhone-Nutzer?

  1. Sofort updaten. iOS 18.3.2 ist die aktuelle Version. Alles darunter ist potenziell angreifbar.
  2. Lockdown Mode aktivieren: wenn man in einer Risikogruppe ist (Journalisten, Aktivisten, Personen mit Zugang zu sensiblen Daten). Coruna bricht den Angriff ab, wenn Lockdown Mode aktiv ist.
  3. Vorsicht bei Links: auch wenn der Absender vertrauenswürdig wirkt. Coruna wird über kompromittierte, eigentlich legitime Websites verteilt.
  4. Alte Geräte ersetzen: ein iPhone, das keine aktuellen Sicherheitsupdates mehr bekommt, ist ein offenes Tor.

Die unbequeme Wahrheit

Coruna zeigt zwei Dinge, die die Sicherheitsbranche ungern hört:

Erstens: iPhones sind nicht unangreifbar. Sie sind schwerer zu knacken als die meisten Android-Geräte, aber “schwerer” heißt nicht “unmöglich”. Wer genug Ressourcen hat, findet einen Weg.

Zweitens: Cyberwaffen bleiben nicht in den Händen ihrer Auftraggeber. Was als staatliches Spionage-Werkzeug beginnt, landet früher oder später bei Kriminellen. Jedes Mal. NSO Groups Pegasus, jetzt Coruna: Das Muster wiederholt sich. Ein “aktiver Markt für gebrauchte Zero-Day-Exploits”, wie Google es formuliert, ist das Worst-Case-Szenario für die digitale Sicherheit aller.

Quellen:

Aktualisiert am 13.03.2026 
CC BY-NC-SA 4.0
IT-SicherheitAppleIOSExploit
Zurück | Startseite

Inhalt