Шпионский инструмент попал в руки криминала — и теперь крадёт крипту с айфонов

Инструмент, который не должен был попасть к ворам

В начале марта 2026 года Google Threat Intelligence Group (GTIG) опубликовала один из самых тревожных отчётов по мобильной безопасности за последние годы. Исследователи раскрыли подробности об эксплойт-ките под названием Coruna — наборе инструментов для взлома iPhone, который за один год прошёл путь от коммерческого шпионского ПО до оружия массовых краж криптовалюты. История Coruna — это не просто технический отчёт об уязвимостях. Это история о том, как самые сложные кибероружия постепенно выходят из-под контроля и оказываются в руках тех, для кого они не предназначались.

Что такое Coruna и как она работает

Coruna — это эксплойт-кит: набор готовых инструментов для взлома, объединённых в единый фреймворк. Он содержит 23 отдельных эксплойта, скомбинированных в пять полноценных цепочек атаки. Все они нацелены на устройства под управлением iOS версий от 13.0 до 17.2.1 — то есть на iPhone с прошивкой, выпущенной с сентября 2019 по декабрь 2023 года. Атака начинается с браузера. Coruna эксплуатирует уязвимости в WebKit — движке, который лежит в основе всех браузеров на iOS, включая Safari, Chrome и Firefox. Это означает: достаточно зайти на заражённый сайт с уязвимым iPhone, чтобы устройство было скомпрометировано. Никаких подозрительных ссылок, никаких приложений, никаких паролей — просто визит на веб-страницу. Цепочка атаки работает по нарастающей: сначала удалённое выполнение кода через WebKit, затем побег из изолированной среды браузера, затем эскалация привилегий до уровня ядра операционной системы. В итоге атакующий получает полный контроль над устройством. Особенность, выделяющая Coruna среди других угроз, — качество кода. Исследователи GTIG отметили, что эксплойты содержат подробную документацию: комментарии и описания написаны на профессиональном английском языке, самые сложные из них используют непубличные техники и обходы защитных механизмов Apple. Это не поделка с хакерских форумов — это продукт высококвалифицированных разработчиков.

Три владельца за один год

Первые следы Coruna GTIG зафиксировали в феврале 2025 года. Тогда фреймворк использовался клиентом некоего коммерческого вендора слежки — компании, работающей в той же серой зоне, что и разработчики шпиона Pegasus. Инструмент применялся для точечных операций против конкретных целей: типичная картина коммерческого шпионажа. Летом 2025 года тот же JavaScript-фреймворк объявился в принципиально иных обстоятельствах. Группа, которую GTIG отслеживает под идентификатором UNC6353 и связывает с российскими государственными структурами, использовала Coruna в атаках типа «водопой» — watering hole. Схема проста: злоумышленники компрометировали украинские сайты, которые регулярно посещали нужные им пользователи: страницы интернет-магазинов, промышленного оборудования, местных сервисов. Заходишь на привычный сайт с iPhone — и оказываешься под атакой. В конце 2025 — начале 2026 года Coruna появилась в третьем контексте, снова другом. Теперь её применяла китайская финансово мотивированная группа UNC6691 — не ради шпионажа, а ради денег. Поддельные сайты криптовалютных бирж и казино были настроены так, чтобы при заходе с iOS-устройства незаметно запускать эксплойт-кит. За один год — три разных актора, три разные цели, один и тот же инструмент.

PlasmaLoader: что происходит после взлома

После успешной отработки цепочки эксплойтов на устройство устанавливается загрузчик PlasmaLoader (в документах GTIG также встречается как PlasmaGrid). Он внедряется в системный процесс powerd — один из корневых демонов iOS, что обеспечивает ему привилегированное положение в системе. PlasmaLoader действует как платформа: сам по себе он минимален, но скачивает с командного сервера дополнительные модули под конкретные задачи. В случае с криминальными атаками UNC6691 задача была одна — опустошить криптокошельки. Модули атакуют широкий список приложений: MetaMask, Phantom, Exodus, BitKeep, Uniswap, Base, Bitget Wallet и другие. Помимо этого, PlasmaLoader сканирует галерею фотографий в поисках QR-кодов кошельков, ищет в файлах и заметках ключевые фразы вроде «backup phrase», «bank account», «seed phrase». Все найденные данные шифруются по AES и отправляются на жёстко заданные адреса командных серверов. Примечательная деталь: в коде PlasmaLoader обнаружен алгоритм генерации доменов, использующий строку «lazarus» в качестве зерна. Это совпадение с названием знаменитой северокорейской хакерской группы исследователи отметили, не делая однозначных выводов об атрибуции.

Откуда взялся Coruna: версии о происхождении

Вопрос о том, кто создал Coruna, остаётся открытым — и ответы на него варьируются от «коммерческий вендор шпионажа» до «правительство США». Основатель компании iVerify Рокки Коул публично заявил: по его оценке, технические характеристики кода указывают на то, что Coruna мог быть создан при участии американских государственных структур, а затем утёк и оказался в руках противников. Эксперты сравнивают ситуацию с утечкой EternalBlue — инструмента АНБ, который впоследствии стал основой для вирусов WannaCry и NotPetya. Аналитик Kaspersky Борис Ларин настроен скептичнее: по его словам, конкретных доказательств совпадения кода с известными инструментами в публичных отчётах нет. Связь с Operation Triangulation — масштабной шпионской кампанией против iPhone, раскрытой в 2023 году, — также остаётся предметом дискуссий. Бесспорным остаётся другое: существует активный вторичный рынок мощных эксплойтов. Инструменты, созданные для точечного государственного шпионажа, со временем оказываются у брокеров уязвимостей, затем у других государств, затем у криминальных группировок. Coruna — наглядная иллюстрация этой цепочки.

Масштаб угрозы и реакция властей

Исследователи iVerify называют Coruna первым задокументированным случаем массовой эксплуатации iOS-устройств в рамках одной операции: в отличие от традиционного шпионского ПО, нацеленного на единицы, атака UNC6691 была направлена на любого пользователя, который зайдёт на заражённый сайт с уязвимым iPhone. Реакция последовала быстро. Google добавил все выявленные домены в базу Safe Browsing. Американское агентство кибербезопасности CISA обязало федеральные ведомства устранить три уязвимости из арсенала Coruna до 26 марта 2026 года, внеся их в каталог Known Exploited Vulnerabilities.

Что делать прямо сейчас

Хорошая новость: Coruna не работает на современных версиях iOS. Все эксплойты ориентированы на версии до 17.2.1 включительно — обновление до iOS 17.3 и выше полностью нейтрализует угрозу. Ещё один надёжный барьер — режим Lockdown Mode: при его активации PlasmaLoader автоматически прекращает работу. Аналогичный эффект даёт режим приватного просмотра в браузере. Дополнительные меры предосторожности: Не храните сид-фразы и резервные коды кошельков в фотогалерее или заметках телефона. PlasmaLoader целенаправленно ищет именно там. Если криптоактивы значительны — рассмотрите аппаратный кошелёк: ключи, хранящиеся офлайн, недоступны даже при полной компрометации устройства.

Coruna — это не уязвимость в одной программе, которую можно закрыть патчем. Это сигнал о системной проблеме: самые мощные кибероружия неизбежно расползаются за пределы тех, кто их создавал. И когда они попадают в руки криминала — мишенью становится уже не политик или журналист, а любой держатель крипты с необновлённым телефоном