Coruna : la prolifération des 0-day iOS et le risque de compromission de masse

De l'APT à la cybercriminalité

Le kit Coruna met en lumière une mutation des menaces. Initialement utilisé par un client d'un fournisseur de surveillance, il a été utilisé par UNC6353 (espionnage russe) puis récupéré par UNC6691 (cybercriminalité financière). GTIG note que « la principale valeur technique de ce kit d'exploitation réside dans la collection étendue d'exploits pour des vulnérabilités touchant iOS », avec des techniques avancées de contournement des mécanismes de sécurité en place.

Cette évolution suggère que des outils d'espionnage étatiques sont susceptibles d'´être re-packagés pour un usage criminel. iVerify ajoute que « les outils initialement conçus pour viser des gouvernants sont désormais déployés contre les utilisateurs ordinaires d'iPhone ». La frontière entre menace étatique et cybercrime s'estompe : tout parc mobile est une cible accessible, et pas seulement une cible de haut niveau.

Vecteurs d'attaque et fenêtre de vulnérabilité

L'attaque s'appuie sur des vecteurs spécifiques. Les versions visées sont iOS 13.0 à 17.2.1. Le kit contient des chaînes d'exploitation basées sur des CVEs tels que CVE-2024-23222 (WebKit RCE) et CVE-2022-48503. Google précise que « le kit d'exploitation Coruna n'est pas effectif contre la dernière version d'iOS ».

La charge utile est souvent délivrée via des sites de phishing visant des services d'échange de crypto-devises (copies de WEEX ou Metamask, par exemple) ou des attaques "Watering Hole". Validin confirme l'usage de sites frauduleux pour distribuer le kit. Le code est injecté via des iframes cachés. Les scripts maquillés exécutent des exploits en JS avant l'injection de la charge utile exécutable.

Conséquences opérationnelles

L'impact est financier et stratégique. Les implants de Coruna ciblent les portefeuilles de crypto-pépettes. Le GTIG explique que la charge utile « vole des données financière », décodant les clés BIP39 et exfiltrant des mots de passe.

La persistance est assurée par l'injection dans des processus système root comme `powerd` et `locationd`. iVerify souligne que `powerd` est utilisé comme hôte pour le premier implant, ce qui permet une exécution silencieuse. Les données sensibles comme les notes iCloud et les photos sont également accessibles via des modules spécifiques. La conséquence est une perte d'actifs directs.

La détection repose sur l'analyse forensique et la supervision. iVerify détaille des indicateurs fiables d'infection. Sur le réseau, les User Agents statiques inhabituels ou les communications avec des domaines C2 générés aléatoirement (DGA) doivent être surveillés. Validin a analysé des indicateurs DNS historiques, montrant que les C2 utilisent souvent des domaines `.xyz` et assortis de réponses 404 spécifiques. La surveillance des logs système permet de repérer l'activité suspecte avant l'exfiltration.

Mitigation et posture de sécurité

Google recommande impérativement de mettre à jour iOS à la version 17.3 et plus : « les utilisateurs d'iPhone sont fortement encouragés à mettre à jour leurs appareils avec la dernière version d'iOS ». Si la mise à jour n'est pas possible, le mode dit Lockdown doit être activé.

Au niveau infrastructure, le DNS et le filtrage des domaines suspects sont essentiels. Validin suggère d'utiliser des règles YARA 
pour détecter les schémas d'infection dans le trafic HTTP. La politique de sécurité doit inclure un audit trimestriel des versions iOS et une vérification des applications dédiées aux crypto-monnaies installées sur les terminaux mobiles.

Coruna enseigne que la prolifération des exploits pour les vulnérabilités inédites est un nouveau risque systémique. Google insiste : « au-delà de ces exploits identifiés, plusieurs acteurs malveillants ont désormais acquis des techniques d'exploitation avancées ». Pour les RSSI, la leçon est d'adopter une posture de « défense en profondeur » pour le mobile.