Les chercheurs de Google et d’iVerify affirment que cette affaire indique un marché secondaire florissant pour les exploits Zero Day haut de gamme.
Les chercheurs en renseignement sur les menaces de Google ont identifié un kit d’exploitation sophistiqué ciblant les iPhones qui a d’abord été utilisé par le client d’un fournisseur de services de surveillance commerciale avant d’être réutilisé par un groupe d’espionnage russe présumé, puis par des cybercriminels chinois, mettant en évidence ce que les chercheurs décrivent comme un marché secondaire actif pour les exploits Zero Day haut de gamme.
« La manière dont cette prolifération s’est produite n’est pas claire, mais cela suggère l’existence d’un marché actif pour les exploits « de seconde main » du jour zéro », a écrit Google Threat Intelligence Group (GTIG) dans un article de blog. « De nombreux acteurs de la menace ont désormais acquis des techniques d’exploitation avancées qui peuvent être réutilisées et modifiées en fonction des vulnérabilités nouvellement identifiées. »
Le kit d’exploits, nommé Coruna par ses développeurs, contient cinq chaînes d’exploits iOS complètes construites à partir d’un total de 23 exploits individuels ciblant les iPhones exécutant iOS 13.0 à iOS 17.2.1 – une gamme couvrant les appareils publiés de septembre 2019 à décembre 2023.
La société de sécurité mobile iVerify a découvert et procédé à une ingénierie inverse de manière indépendante la même boîte à outils et a publié une recherche corroborante le même jour. Il a décrit la boîte à outils, qu’il appelle CryptoWaters, comme la première exploitation massive observée d’appareils iOS par un groupe criminel motivé par l’argent.
Trois acteurs de la menace, une seule boîte à outils
GTIG a détecté pour la première fois des éléments de Coruna en février 2025, lorsque les chercheurs ont capturé des parties d’une chaîne d’exploitation iOS utilisée par un client d’une société de surveillance commerciale anonyme. Le framework a pris les empreintes digitales des appareils cibles, identifié leur modèle d’iPhone et leur version iOS, et a fourni silencieusement l’exploit d’exécution de code à distance WebKit approprié, indique le blog.
Le même framework a refait surface à l’été 2025, cette fois réutilisé par UNC6353, un groupe d’espionnage russe présumé, qui l’a intégré sous forme d’iframes cachées sur des sites Web ukrainiens compromis couvrant les secteurs de l’équipement industriel, de la vente au détail et du commerce électronique, selon Google. Il a déclaré avoir travaillé avec le CERT-UA ukrainien pour nettoyer tous les sites Web compromis.
À la fin de l’année, le même kit était apparu sur un vaste réseau de faux sites financiers chinois exploités par UNC6691, un acteur menaçant basé en Chine et motivé par des motivations financières. Contrairement aux déploiements ciblés précédents, iVerify a confirmé que les chaînes d’exploitation ne contenaient aucun filtrage de géolocalisation, ce qui signifie que tout iPhone vulnérable visitant ces pages était en danger.
Les VIP ne sont pas les seuls à être exposés à ce malware, a déclaré Gautam Goel, analyste principal d’Everest Group. « L’article du GTIG est remarquable précisément parce qu’il montre des chaînes d’exploitation de qualité surveillance passant d’une utilisation ciblée à des campagnes criminelles à grande échelle. »
Une charge utile conçue pour drainer les portefeuilles de crypto-monnaie
Dans le cas de l’UNC6691, a déclaré GTIG, cette campagne criminelle à grande échelle avait un objectif financier spécifique.
La charge utile à la fin de la chaîne d’exploitation de Coruna, que GTIG suit sous le nom de Plasmagrid, n’est pas un logiciel de surveillance conventionnel. Il s’injecte dans powerd, un démon exécuté en tant que root sur iOS, et est spécialement conçu pour voler des crypto-monnaies, selon GTIG.
Plasmagrid se connecte à 18 applications de portefeuille de crypto-monnaie, dont MetaMask, Phantom, Exodus et Uniswap, pour exfiltrer les informations d’identification. Il analyse les images à la recherche de codes QR et analyse Apple Notes à la recherche de phrases de départ et de mots-clés tels que « phrase de sauvegarde » et « compte bancaire ». GTIG a déclaré que les commentaires de code à l’intérieur de l’implant sont écrits en chinois et que certains semblent avoir été générés par un grand modèle de langage. iVerify a ajouté que son analyse indépendante a trouvé des modules supplémentaires ciblant WhatsApp au-delà de ceux identifiés par GTIG, et a noté que le kit semblait être en développement actif.
Ce que La Corogne révèle sur le marché des logiciels espions
Cette affaire a renouvelé l’examen des assurances du secteur de la surveillance commerciale selon lesquelles ses outils restent soumis à une utilisation contrôlée et ciblée. Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que cette tendance révèle un problème structurel. « L’écosystème comprend des programmes d’acquisition d’exploits, des courtiers de vulnérabilités et des marchés secondaires qui facilitent la circulation des capacités offensives », a déclaré Gogia. « La réglementation d’une seule catégorie de fournisseurs n’apporte pas grand-chose à la chaîne d’approvisionnement sous-jacente. »
Goel a déclaré que le calendrier rend l’échec politique concret. « Même si le premier acheteur revendique une utilisation ciblée et licite, la capacité elle-même peut proliférer dans les écosystèmes criminels en quelques mois », a-t-il déclaré. Google a reconnu le défi politique plus large, soulignant sa participation au processus Pall Mall, une initiative internationale visant à limiter l’utilisation abusive des capacités commerciales de cyber-intrusion.
La sécurité mobile des entreprises sous surveillance
Le kit Coruna n’est pas efficace contre la dernière version d’iOS. GTIG a exhorté tous les utilisateurs d’iPhone à mettre à jour leurs appareils immédiatement et a recommandé d’activer le mode de verrouillage là où les mises à jour ne sont pas possibles, notant que le kit est conçu pour s’abandonner sur les appareils fonctionnant dans ce mode. Google a ajouté tous les domaines identifiés à la navigation sécurisée. Les indicateurs de compromission sont disponibles dans une collection GTIG gratuite sur VirusTotal.
Les analystes ont déclaré que les conseils de remédiation, bien que nécessaires, révèlent une lacune architecturale plus profonde. « La plupart des programmes de sécurité mobile d’entreprise ont été construits autour de la gestion des appareils plutôt que de leur intégrité », a déclaré Gogia. « Ils n’ont jamais été conçus pour détecter les exploitations qui se produisent au sein même du système d’exploitation. »
Goel l’a dit de manière plus claire. « Coruna est soumise aux contrôles MDM et au niveau des applications », a-t-il déclaré. « Si un attaquant parvient à exécuter de manière fiable du code WebKit et à accéder à un accès au niveau du noyau, l’appareil peut mentir sur son propre état et de nombreux contrôles de politique deviennent inutiles dans la pratique. »
