Sicherheitsforscher haben ein hochgefährliches iPhone-Exploit-Kit aufgedeckt. „Coruna“ nutzt 23 Schwachstellen und hat bereits zehntausende Geräte kompromittiert. Das Besondere: Ursprünglich ein staatliches Spionagewerkzeug, wird es jetzt für massenhaften Krypto-Diebstahl eingesetzt.
Angesichts solch komplexer Bedrohungen ist es für Apple-Nutzer wichtiger denn je, die Fachbegriffe rund um die Sicherheit ihres Geräts wirklich zu verstehen. Dieses kostenlose PDF-Lexikon erklärt Ihnen 53 entscheidende Begriffe wie iOS-Updates oder Apple-ID ohne technisches Kauderwelsch. Kostenloses iPhone-Lexikon jetzt anfordern
So funktioniert die heimliche Infektion
Das Framework, auch als CryptoWaters bekannt, arbeitet vollautomatisch und tückisch. Besucht ein Nutzer eine präparierte Webseite, prüft ein Skript im Hintergrund das iPhone-Modell und die iOS-Version. Passt beides – Ziel sind Versionen 13.0 bis 17.2.1 – wird der passende Exploit ausgelöst.
Eine zentrale Rolle spielt die WebKit-Lücke CVE-2024-23222. Apple hat sie bereits im Januar 2024 mit iOS 17.3 geschlossen. Wer also aktuell softwaretechnisch auf dem Stand ist, ist vor diesem Angriffsweg sicher. Die Gefahr trifft vor allem Nutzer, die Updates hinauszögern.
Vom Geheimdienst-Tool zur Cyberkriminalität
Die Karriere des Schadprogramms ist außergewöhnlich. Google-Analysen zeigen seinen Weg: Anfang 2025 tauchte es bei einem Kunden eines kommerziellen Überwachungsunternehmens auf – ein Indiz für staatlichen Ursprung. Im Sommer nutzte es die mutmaßlich russische Gruppe UNC6353 für Spionage gegen ukrainische Ziele.
Doch Ende 2025 wechselte das Framework den Besitzer. Die finanziell motivierte, chinesische Gruppierung UNC6691 setzt es seither für breite Angriffe über gefälschte Finanz- und Krypto-Webseiten ein. Ein klarer Fall: Exklusive Spionagewerkzeuge landen auf einem aktiven Zweitmarkt für Kriminelle.
Das Ziel: Krypto-Wallets plündern
Nach der Infiltration installiert Coruna die Schadsoftware PlasmaLoader (PLASMAGRID). Sie tarnt sich als legitimer Apple-Dienst und fischt gezielt nach Finanzdaten. Die Malware kann sich in mindestens 18 verschiedene Krypto-Wallet-Apps einklinken, darunter MetaMask, Phantom und BitKeep.
Das Ergebnis ist fatal: Die Angreifer erbeuten private Schlüssel und leeren die digitalen Konten. Spencer Parker von iVerify beziffert die Zahl infizierter Geräte bereits auf mindestens 42.000. Für das geschlossene Apple-Ökosystem ist das eine enorme Größenordnung.
Viele iPhone-Besitzer fühlen sich von der Komplexität moderner Betriebssysteme und den damit verbundenen Sicherheitsrisiken überfordert. Ein kompakter Guide hilft Ihnen dabei, Ihr Gerät von Grund auf sicher zu bedienen und alle wichtigen Schutzfunktionen ohne Frust einzurichten. Gratis-Ratgeber für den sicheren iPhone-Einstieg sichern
Streit um die Urheberschaft
Wer hat Coruna gebaut? Bei iVerify verweist man auf auffällige Ähnlichkeiten zu Werkzeugen, die früher US-Behörden zugeschrieben wurden. Die technische Qualität und die mutmaßlichen Millionen-Entwicklungskosten stützen diese These.
Doch nicht alle Experten folgen dieser Linie. Boris Larin von Kaspersky sieht in den veröffentlichten Berichten „keine stichhaltigen Beweise“ für eine direkte Wiederverwendung von US-Code. Egal, wer es schrieb – der Fall zeigt die gefährlichen Konsequenzen, wenn staatliche Cyberwaffen in falsche Hände geraten.
Ein Wendepunkt für die iPhone-Sicherheit?
Bislang galten derart komplexe iOS-Exploits als Werkzeuge für gezielte Angriffe auf Prominente oder Politiker. Coruna beweist: Diese Technologien werden jetzt massentauglich. Der Übergang von gezielter Spionage zu wahllosem Krypto-Raub markiert eine neue Bedrohungslage für alle Nutzer.
Im Vergleich zu Skandalen wie Pegasus zeigt Coruna eine nie dagewesene Modularität. 23 gebündelte Schwachstellen sollen möglichst viele Systemversionen treffen. Die Botschaft an Nutzer ist klar: Das Hinauszögern von Updates wird zu einem unkalkulierbaren finanziellen Risiko.
Droht jetzt eine Nachbau-Welle?
Da die Funktionsweise des Kits nun detailliert öffentlich ist, warnen Experten vor Nachahmern. Andere kriminelle Gruppen könnten die Architektur kopieren oder modifizieren. Apple dürfte den Druck auf Nutzer erhöhen, veraltete iOS-Versionen endgültig abzulegen.
Zudem wird erwartet, dass der Konzern Schutzfunktionen wie den Blockierungsmodus prominenter bewirbt. Der Vorfall könnte auch die politische Bedatte neu entfachen: Wer trägt die Verantwortung, wenn staatlich entwickelte Cyberwaffen in die Hände von Kriminellen fallen?
