Coruna: Wie ein geheimes Exploit-Kit 42.000 iPhones knackte

Irgendwo existiert in diesem Moment eine Webseite, die Ihr iPhone beim Besuch stillschweigend untersucht: iOS-Version prüfen, Lockdown-Modus kontrollieren, einen von 23 Exploits vorbereiten. Kein Tippen nötig. Kein verdächtiger Link. Nur eine ganz normale Webseite.

Ein Werkzeugkasten, der niemals öffentlich werden sollte

Sicherheitsforscher von Googles Threat Intelligence Group und der Mobilsicherheitsfirma iVerify haben unabhängig voneinander die Existenz von Coruna bestätigt: ein Hacking-Toolkit militärischer Qualität, das fünf vollständige Exploit-Ketten und 23 separate Schwachstellen enthält. Das Kit zielt auf sämtliche iPhones mit iOS 13 bis 17.2.1, also auf Modelle, die zwischen September 2019 und Dezember 2023 auf den Markt kamen.

Der Quellcode ist in Englisch verfasst und ausführlich dokumentiert, mit internen Kommentaren, die wie ein Entwicklerhandbuch wirken. iVerify kam nach dem Reverse Engineering zu dem Schluss, dass das Toolkit "auf denselben Grundlagen wie bekannte Hacking-Werkzeuge der US-Regierung aufgebaut zu sein scheint". Es teilt Module mit der Operation Triangulation, jener Kampagne aus dem Jahr 2023, die Russland der NSA zuschrieb, nachdem sie gegen Forscher von Kaspersky eingesetzt worden war.

Die Entwicklung eines solchen Toolkits kostet Millionen. Es war nie für die Öffentlichkeit bestimmt.

Vom Geheimdienst zum Kriminellen: Wie Staatswaffen in den Einzelhandel gelangten

Google verfolgte Corunas Verbreitungsweg über drei Phasen. Im Februar 2025 tauchte es in den Händen eines Kunden einer Überwachungsfirma auf, eine klassische geheimdienstliche Operation. Im Juli 2025 fand es sich als versteckte iFrames auf ukrainischen Webseiten wieder, eingebettet von UNC6353, einer mutmaßlich russischen Spionagegruppe. Der Exploit-Code wurde gezielt ausgeliefert: Nur iPhones aus bestimmten geografischen Regionen erhielten die Schadsoftware.

Dann änderte sich das Muster grundlegend. Ab Dezember 2025 erschien Coruna auf gefälschten chinesischen Kryptowährungs- und Glücksspielseiten. Die Schadsoftware war vollständig umgeschrieben worden. Statt Überwachungsimplantaten durchsuchte sie nun die Telefone der Opfer nach Krypto-Wallet-Apps wie Metamask und BitKeep, fahndete nach Begriffen wie "Backup-Phrase" und "Bankkonto" und übermittelte Wiederherstellungsschlüssel sowie Zugangsdaten an die Angreifer.

Das Ergebnis: 42.000 kompromittierte iPhones, eine Zahl, die iVerify als "massiv" für iOS bezeichnete. Es handelt sich um den ersten dokumentierten Fall, in dem eine kriminelle Gruppe staatliche Exploit-Werkzeuge für massenhaften Finanzdiebstahl auf Mobilgeräten einsetzte.

Die Schattenwirtschaft gebrauchter Exploits

Wie gelangte ein Toolkit, das für einen US-Regierungsauftragnehmer entwickelt wurde, in die Hände russischer Spione und chinesischer Kryptodiebe? Googles Bericht formuliert es unverblümt: Die Antwort bleibt unklar, doch das Muster "deutet auf einen aktiven Markt für gebrauchte Zero-Day-Exploits hin".

Dies ist kein Einzelfall. Googles aktueller Bedrohungsbericht verzeichnete 90 ausgenutzte Zero-Day-Schwachstellen im Jahr 2025, gegenüber 78 im Vorjahr. Erstmals waren kommerzielle Überwachungsanbieter für mehr zugeordnete Zero-Day-Ausnutzungen verantwortlich als traditionelle staatlich geförderte Gruppen; sie nutzten 15 Schwachstellen direkt aus. Die Lieferkette für digitale Waffen globalisiert sich, und die Käufer sind längst nicht mehr nur Regierungen.

Die konkreten Schwachstellen (CVEs) in Coruna verdeutlichen das Problem: CVE-2024-23222, eine WebKit-Lücke, die Anfang 2024 gepatcht wurde; CVE-2022-48503, im Oktober 2025 in den Known-Exploited-Katalog der US-Behörde CISA aufgenommen; und CVE-2023-38606, einer der Operation-Triangulation-Exploits aus 2023. Alte Schwachstellen, auf ungepatchten Geräten weiterhin gefährlich.

Was das für Ihr iPhone konkret bedeutet

Coruna meidet gezielt zwei Konfigurationen: Geräte mit der neuesten iOS-Version und Geräte mit aktiviertem Lockdown-Modus. Das versteckte JavaScript-Framework prüft beides, bevor es einen Exploit einsetzt. Ist eine der Bedingungen erfüllt, bricht es den Angriff stillschweigend ab.

Ihre Verteidigung ist unkompliziert, aber dringend. Aktualisieren Sie Ihr iPhone umgehend auf die neueste iOS-Version. Jedes Gerät, das noch iOS 17.2.1 oder älter nutzt, ist ein potenzielles Ziel. Aktivieren Sie den Lockdown-Modus, wenn Sie mit sensiblen Finanzdaten arbeiten oder in Hochrisikoregionen reisen. Und verabschieden Sie sich von der alten Annahme, iPhones seien nicht angreifbar: Sie starb in dem Moment, als die digitalen Waffen einer Regierung in den freien Handel gelangten.

Die 42.000 bereits kompromittierten Geräte wurden durch den Besuch einer einzigen Webseite infiziert. Die nächste Angriffswelle mit diesen Werkzeugen ist keine Frage des Ob, sondern des Welche-Webseite.