Connexion
Des espions russes et cybercriminels chinois ont récupéré un spyware iPhone lié à la NSA
Back in the USSR (& remade in China)
« Coruna », qui repose sur pas moins de cinq chaînes d’exploitation iOS complètes et 23 exploits iOS, aurait coûté plusieurs millions de dollars en développement. Google, qui l’a identifié dans trois séries de cyberattaques en 2025, ne sait pas comment il aurait été revendu au renseignement russe puis à des scammers chinois.
Le Google Threat Intelligence Group (GTIG) a identifié un nouveau kit d’exploitation particulièrement puissant ciblant les modèles d’iPhone Apple fonctionnant sous iOS version 13.0 (sortie en septembre 2019) jusqu’à la version 17.2.1 (sortie en décembre 2023).
La simple consultation d’un site web infecté suffisait à permettre l’installation du logiciel malveillant, dont la sophistication laisse supposer qu’il avait initialement été conçu par (ou pour) un service de renseignement disposant de ressources importantes.
Baptisé « Coruna » par ses développeurs, il repose en effet sur pas moins de cinq chaînes d’exploitation iOS complètes et un total de 23 exploits iOS, les plus avancés utilisant des techniques d’exploitation non publiques et des contournements de mesures d’atténuation. Deux d’entre eux avaient en outre déjà été reliés à une opération attribuée par la Russie à la National Security Agency (NSA).
Un marché noir d’exploits zero-day « d’occasion »
GTIG l’avait initialement repéré, en février 2025, alors qu’il était exploité dans des « opérations hautement ciblées » menées par un client d’un vendeur de logiciels espions étatiques, sans plus de prévisions quant à leurs identités respectives.
Google précise cela dit qu’il exploitait une vulnérabilité précédemment identifiée comme un zero-day et corrigée par Apple en janvier 2024 (CVE-2024-23222).
Il l’a ensuite observé, en juillet, dans des attaques de type « watering hole » (ou « attaque de trou d’eau », consistant à piéger un site spécifique pour contaminer les machines de ses visiteurs) menées par un groupe de cyberespionnage russe ciblant des internautes ukrainiens.
Dans un troisième temps, en décembre, Coruna a été exploité « dans des campagnes à grande échelle » par un acteur malveillant opérant depuis la Chine et contaminant un très grand nombre de sites de cryproactifs et de jeux d’argent en langue chinoise.
« La manière dont cette prolifération s’est produite n’est pas claire », précise Google, « mais elle suggère l’existence d’un marché actif pour les exploits zero-day « d’occasion » ». Au-delà de ces exploits identifiés, « de multiples acteurs malveillants ont désormais acquis des techniques d’exploitation avancées qui peuvent être réutilisées et modifiées avec des vulnérabilités nouvellement identifiées », souligne GTIG.
Son développement a coûté des millions de dollars
Google relève que deux des 23 exploits contenus dans Coruna avaient précédemment été utilisés dans l’Operation Triangulation découverte par Kaspersky en 2023, et attribuée par la Russie à la NSA. Elle reposait sur une série de quatre failles 0-day, ayant à l’époque conduit à la compromission totale d’iPhone d’employés de Kaspersky et de diplomates russes.
Le rapport technique de l’antivirus mettait également en avant les nombreuses défenses intégrées dans iOS et le degré extrême de sophistication pour les contourner et exploiter les vulnérabilités. Ce qui le rapproche là aussi de Coruna.
Son code semble par ailleurs avoir été initialement écrit par des programmeurs anglophones, explique à WIRED Rocky Cole, cofondateur d’iVerify, spécialiste des menaces ciblant les mobiles, qui vient lui aussi de publier un long rapport technique à son sujet :
« Il est très sophistiqué, son développement a coûté des millions de dollars et il porte les marques d’autres modules qui ont été publiquement attribués au gouvernement américain. C’est le premier exemple que nous ayons vu d’outils très probablement utilisés par le gouvernement américain – d’après ce que nous révèle le code – qui échappent à tout contrôle et sont utilisés à la fois par nos adversaires et par des groupes de cybercriminels. »
Au moins 42 000 iPhone et iPad infectés en Chine
Un partenaire d’iVerify ayant accès au trafic réseau a comptabilisé les visites sur un serveur de commande et de contrôle pour la version cybercriminelle de Coruna infectant les sites web en langue chinoise. Le volume de ces connexions suggère qu’environ 42 000 terminaux auraient été piratés avec cette boîte à outils dans le cadre de cette seule campagne.
iVerify avance que la version chinoise de Coruna semblait avoir été modifiée pour vider les portefeuilles de cryptoactifs, inspecter les photos et Apple Notes des appareils et les exfiltrer lorsqu’y figurent des mots-clefs comme « backup phrase » ou « bank account ». Mais ces ajouts étaient aussi « mal écrits » par rapport au code préexistant, précise à WIRED Spencer Parker, directeur des produits chez iVerify.
Google relève que le Coruna chinois affichait également un pop-up expliquant aux internautes que « la page a été optimisée pour les terminaux iOS. Merci d’y accéder depuis un iPhone ou un iPad ». Certains commentaires comportent en outre des emojis et sont rédigés à la manière de ceux qui sont générés par une IA générative.
<PlasmaLogger> %s[%d]: [PLCoreHeartbeatMonitor] ✅ 心跳监控已启动 (端口=0x%x),等待 CorePayload 发送第一个心跳...Rocky Cole, qui travaillait à la NSA mais qui a quitté le gouvernement il y a plus de 10 ans, émet l’hypothèse que Coruna aurait été récupéré par un courtier en exploits et vulnérabilités « 0days » non occidental et peu scrupuleux, qui l’aurait ensuite revendu à un service de renseignement russe, mais sans expliquer pour autant comment il aurait ensuite été récupéré par les cybercriminels chinois.
Google relève qu’Apple a corrigé les vulnérabilités exploitées par Coruna dans les dernières versions de son système d’exploitation mobile, iOS 26, de sorte que ses techniques d’exploitation ne sont confirmées que pour iOS 13 à 17.2.1.
GTIG note également que Coruna vérifiait si les terminaux avaient activé le mode verrouillage « Lockdown Mode », précisément conçu pour protéger leurs utilisateurs de tels logiciels espion, et ne tentait pas de les infecter en pareil cas.
Google rappelle, en guise de conclusion, participe activement au processus Pall Mall, qui vise à établir un consensus et à progresser vers la limitation des dommages causés par l’industrie des logiciels espions :
« Ensemble, nous nous attachons à élaborer des normes et des cadres internationaux afin de limiter l’utilisation abusive de ces technologies puissantes et de protéger les droits de l’homme dans le monde entier. Ces efforts s’appuient sur des mesures gouvernementales antérieures, notamment celles prises par le gouvernement américain pour limiter l’utilisation des logiciels espions par les pouvoirs publics, et sur un engagement international sans précédent en faveur d’initiatives similaires. »
Google et iVerify partagent tous deux les indicateurs de compromission (IOC) associés à Coruna afin de faciliter leur détection. Le second rappelle également que l’application iVerify Basic, disponible gratuitement sur l’App Store, permet de vérifier les éventuels indicateurs de malwares et spywares y figurant.
