Googles Threat Intelligence Group hat ein mächtiges iPhone-Hacker-Kit aufgedeckt. „Coruna“ enthält 23 Exploits und kann iPhones mit iOS 13.0 bis 17.2.1 übernehmen. Besonders alarmierend: Das Kit steht in Verbindung zur hochkomplexen Spionage-Operation „Triangulation“ und wurde innerhalb eines Jahres von staatlichen Akteuren an Finanzkriminelle weitergegeben.
Vom Spionage-Tool zum Krypto-Dieb
Die Reise des Exploit-Kits liest sich wie ein Thriller. Google-Forscher beobachteten Teile des Kits erstmals im Februar 2025 beim Kunden eines kommerziellen Überwachungsanbieters. Im Sommer desselben Jahres nutzte eine mutmaßlich russische Spionagegruppe (UNC6353) das Framework für gezielte Angriffe auf ukrainische Websites.
Angesichts solch komplexer Cyber-Gefahren ist es für iPhone-Nutzer entscheidend, die Sicherheitsfunktionen ihres Geräts genau zu kennen. Dieses kostenlose Lexikon erklärt die wichtigsten Fachbegriffe rund um iOS und Sicherheit verständlich und kompakt. Gratis iPhone-Lexikon jetzt herunterladen
Doch dann änderte sich alles. Ende 2025 tauchte das vollständige Coruna-Kit bei einer breit angelegten Kampagne einer finanzmotivierten chinesischen Gruppe (UNC6691) auf. Statt Spionage stand nun Massenbetrug im Fokus: Die Hacker verteilten das Kit über gefälschte chinesische Finanz- und Kryptowährungs-Webseiten.
So funktioniert der Angriff
Das Coruna-Kit ist eine der umfangreichsten iOS-Exploit-Sammlungen, die je in freier Wildbahn gefunden wurden. Es enthält fünf komplette Angriffsketten. Der Angriff beginnt auf manipulierten Websites – sogenannten „Watering Holes“. Besucht ein Opfer mit einem anfälligen iPhone die Seite, startet ein Skript.
Zuerst analysiert es das Gerätemodell und die iOS-Version. Dann wählt es automatisch die passende Angriffskette aus. Die Exploits nutzen Schwachstellen in der WebKit-Browser-Engine, umgehen die Sandbox-Isolierung und knacken sogar Hardware-Sicherheitsfunktionen wie den Pointer Authentication Code (PAC). Am Ende haben die Angreifer die volle Kontrolle über das Gerät.
Die Verbindung zur „Operation Triangulation“
Die Brisanz des Fundes liegt in der direkten Verbindung zur berüchtigten „Operation Triangulation“. Diese hochkomplexe Spionagekampagne war 2023 von Kaspersky aufgedeckt worden und kompromittierte iPhones von Diplomaten via unsichtbarer iMessage-Nachrichten.
Um sich vor Manipulationen und dem Verlust der Apple-ID zu schützen, sollten gerade Einsteiger die technischen Grundlagen ihres Smartphones sicher beherrschen. Erfahren Sie in diesem Ratgeber, wie Sie die 53 wichtigsten Begriffe und Funktionen richtig einordnen. Die 53 wichtigsten iPhone-Begriffe kostenlos sichern
Das Coruna-Kit nutzt mindestens zwei Schwachstellen (CVE-2023-38606 und CVE-2023-32434), die bereits als Zero-Day-Lücken in Triangulation eingesetzt wurden. Die Wiederverwendung dieser speziellen Exploits zeigt: Entweder wurden die Techniken weiterverkauft – oder nachgebaut.
Der Markt für gebrauchte Cyberwaffen boomt
Der Fall Coruna ist ein Lehrbeispiel für einen gefährlichen trend. Hochentwickelte digitale Waffen, einst nur Nationalstaaten vorbehalten, sickern zunehmend in die Hände von Cyberkriminellen. Experten sprechen von einem aktiven Markt für „gebrauchte“ Zero-Day-Exploits.
Die US-Cybersicherheitsbehörde CISA hat bereits reagiert und einige der ausgenutzten Schwachstellen in ihren Katalog bekannter Sicherheitslücken aufgenommen. Die Grenzen zwischen staatlicher Spionage und organisierter Kriminalität verschwimmen immer mehr.
So schützen Sie Ihr iPhone
Die gute Nachricht: Gegen die neuesten iOS-Versionen ist das Coruna-Kit machtlos. Der wichtigste Schutz bleibt daher simpel, aber effektiv: Installieren Sie Sicherheitsupdates von Apple umgehend. Google hat alle identifizierten bösartigen Seiten zudem seiner Safe-Browsing-Liste hinzugefügt.
Für besonders gefährdete Nutzer empfiehlt sich der „Lockdown Mode“ von Apple. Dieser Sperrmodus reduziert die Angriffsfläche des Geräts erheblich. In einer Welt, in der Spionagetools zu Krypto-Diebeswerkzeugen werden, ist Vorsicht die beste Verteidigung.
