أعلنت مجموعة Google Threat Intelligence Group (GTIG) عن اكتشاف إطار استغلال جديد وقوي يُعرف باسم Coruna أو CryptoWaters، يستهدف أجهزة آيفون العاملة بإصدارات iOS من 13.0 حتى 17.2.1. الإطار يتضمن خمس سلاسل استغلال كاملة و23 ثغرة، بعضها يعتمد على تقنيات غير معلنة لتجاوز آليات الحماية. ورغم خطورته، فإنه غير فعال ضد أحدث إصدار من iOS.
انتقال الاستغلال بين جهات متعددة
منذ فبراير 2025، انتقل الإطار بين عدة جهات: بدايةً من شركة مراقبة تجارية، ثم إلى جهة مدعومة حكومياً، وأخيراً إلى مجموعة تهديد مالي مقرها الصين بحلول ديسمبر. هذا التحول يعكس وجود سوق نشط لإعادة بيع ثغرات “اليوم الصفري”، مما يتيح لمهاجمين مختلفين إعادة استخدامها لأهداف متنوعة. تقارير أخرى أشارت إلى تشابه الإطار مع أدوات سبق تطويرها من قبل جهات مرتبطة بالحكومة الأميركية.
حملات الاستغلال ورصد الثغرات
تم رصد الإطار في ثلاث حملات رئيسية:
- يوليو 2025: عبر نطاق “cdn.uacounter[.]com” على مواقع أوكرانية مخترقة، استُخدم لاستهداف مستخدمين محددين جغرافياً.
- ديسمبر 2025: عبر مواقع صينية وهمية مرتبطة بالقطاع المالي، حيث تم حقن iFrame خفي لتسليم الاستغلال دون قيود جغرافية.
- حملات سابقة: تضمنت استغلال ثغرات مثل CVE-2024-23222 وCVE-2023-43000، وهي ثغرات في WebKit تم إصلاحها لاحقاً من قبل Apple.
من أبرز الثغرات المستغلة:
- Neutron – CVE-2020-27932 (iOS 13.x)
- buffout – CVE-2021-30952 (iOS 13 → 15.1.1)
- jacurutu – CVE-2022-48503 (iOS 15.2 → 15.5)
- IronLoader – CVE-2023-32409 (iOS 16.0 → 16.3.1)
- terrorbird – CVE-2023-43000 (iOS 16.2 → 16.5.1)
- cassowary – CVE-2024-23222 (iOS 16.6 → 17.2.1)
أدوات إضافية وقدرات متقدمة
المهاجمون استخدموا حمولة أولية باسم PlasmaLoader قادرة على فك شيفرة QR وتشغيل وحدات إضافية، بما في ذلك سرقة محافظ العملات الرقمية مثل MetaMask وExodus. الإطار يحتوي على قائمة خوادم C2 مدمجة، مع آلية احتياطية تعتمد على خوارزمية توليد نطاقات (DGA) باستخدام كلمة “lazarus”، لتوليد نطاقات تنتهي بـ .xyz والتحقق من فعاليتها عبر خوادم DNS العامة من Google.
من اللافت أن الإطار يتجنب التنفيذ على الأجهزة في وضع القفل (Lockdown Mode) أو أثناء التصفح الخاص، مما يعكس تطوراً في أساليب التهرب من الكشف.
