Overheidshacktools vallen nu je cryptowallet aan via een website

Ergens op internet controleert een website op dit moment stilletjes de iOS-versie van iedere iPhone die langskomt. Geen verdachte link. Geen klik nodig. Gewoon een webpagina die beslist of jouw toestel het volgende doelwit wordt.

De toolkit die nooit naar buiten had mogen komen

Beveiligingsonderzoekers van Googles Threat Intelligence Group en mobiel beveiligingsbedrijf iVerify hebben onafhankelijk van elkaar het bestaan bevestigd van Coruna: een militair hackingtoolkit voor iPhones met vijf complete exploitketens en 23 afzonderlijke kwetsbaarheden. De kit richt zich op iedere iPhone met iOS 13 tot en met 17.2.1, oftewel modellen uitgebracht tussen september 2019 en december 2023.

De broncode is in het Engels geschreven, met uitgebreide documentatie die leest als een ontwikkelaarshandboek. iVerify concludeerde na reverse engineering dat de toolkit "gebouwd lijkt te zijn op dezelfde fundamenten als bekende hackingtools van de Amerikaanse overheid." Onderdelen komen overeen met Operation Triangulation, de campagne uit 2023 die Rusland toeschreef aan de NSA nadat die was ingezet tegen onderzoekers van Kaspersky.

Zoiets bouwen kost miljoenen. Het was nooit bedoeld voor de buitenwereld.

Van spionage naar diefstal: hoe overheidswapens op straat belandden

Google volgde de verspreiding van Coruna in drie fasen. In februari 2025 dook de toolkit op bij een klant van een surveillancebedrijf: een standaard inlichtingenoperatie. In juli 2025 verscheen het in zogeheten watering hole-aanvallen (waarbij bezoekers van een legitieme website ongemerkt worden besmet) op Oekraïense websites, ingesloten als verborgen iFrames door UNC6353, een vermoedelijk Russische spionagegroep. De exploitcode werd selectief geserveerd: alleen iPhones uit specifieke regio's ontvingen de payload.

Toen verschoof het doel. In december 2025 werd Coruna aangetroffen op nep-websites voor cryptohandel en gokken, gericht op Chinese gebruikers. De payload was volledig herschreven. In plaats van surveillance-implantaten zocht de software nu gericht naar cryptowalletapps zoals Metamask en BitKeep, scande op trefwoorden als "herstelzin" en "bankrekening", en sluisde recovery seeds en inloggegevens van exchanges naar buiten.

Het resultaat: 42.000 gehackte iPhones, een aantal dat iVerify "massaal" noemde voor iOS. Het is het eerste gedocumenteerde geval waarin een criminele groep overheidswapens inzet voor grootschalige financiële diefstal op mobiele apparaten.

De tweedehandsmarkt voor digitale wapens

Hoe belandt een toolkit die gebouwd is voor een Amerikaans overheidsbedrijf bij Russische spionnen en Chinese cryptodieven? Google is er eerlijk over: het antwoord blijft onduidelijk, maar het patroon "wijst op een actieve markt voor tweedehands zero-day exploits."

Dit staat niet op zichzelf. Googles laatste dreigingsrapport telde 90 zero-day kwetsbaarheden die in 2025 werden misbruikt, een stijging ten opzichte van 78 het jaar ervoor. Voor het eerst waren commerciële surveillancebedrijven verantwoordelijk voor meer zero-day misbruik dan traditionele staatsactoren, met 15 direct toegeschreven kwetsbaarheden. De toeleveringsketen voor digitale wapens globaliseert, en de kopers zijn allang niet meer alleen overheden.

De specifieke kwetsbaarheden in Coruna illustreren het probleem: CVE-2024-23222, een WebKit-fout gepatcht begin 2024; CVE-2022-48503, in oktober 2025 toegevoegd aan CISA's lijst van actief misbruikte kwetsbaarheden; en CVE-2023-38606, een van de Operation Triangulation-exploits uit 2023. Oude kwetsbaarheden, nog steeds dodelijk op niet-bijgewerkte apparaten.

Wat dit nu betekent voor jouw iPhone

Coruna vermijdt specifiek twee situaties: apparaten met de nieuwste iOS-versie en apparaten met Lockdown Mode (vergrendelmodus) ingeschakeld. Het verborgen JavaScript-framework controleert beide voordat het een exploit inzet. Als aan een van beide voorwaarden is voldaan, breekt het stilletjes af.

De verdediging is eenvoudig maar urgent. Werk je iPhone bij naar de nieuwste iOS-versie. Ieder toestel dat nog op iOS 17.2.1 of eerder draait, is een potentieel doelwit. Schakel Lockdown Mode in als je met gevoelige financiële gegevens werkt of naar risicogebieden reist. En neem afscheid van de aanname dat iPhones niet gehackt worden: die illusie stierf op het moment dat overheidswapens in criminele handen belandden.

De 42.000 al getroffen apparaten werden besmet door het bezoeken van één enkele webpagina. De volgende aanvalsgolf met deze tools is geen kwestie van of. Het is een kwestie van welke website.