Exploitation avancée sur iPhone “Coruna” vole les phrases seed des portefeuilles crypto

Des chercheurs en sécurité de Google ont découvert une nouvelle trousse d’exploitation spécifiquement destinée aux utilisateurs d’iPhone. L’outil, baptisé Coruna, exploite des vulnérabilités dans les anciennes versions d’iOS pour voler les phrases de récupération des portefeuilles cryptographiques. Quiconque obtient ces phrases a un accès complet au portefeuille et à toutes les cryptomonnaies qu’il contient.

23 exploits et 5 chaînes d’attaque découvertes

Selon le Google Threat Intelligence Group, Coruna contient cinq chaînes d’attaque complètes et un total de 23 exploits différents, y compris des vulnérabilités qui n’étaient pas encore publiquement connues. L’outil cible les iPhones avec des versions iOS allant de 13.0 à 17.2.1.

Google a découvert la trousse en février 2025. Son utilisation a été initialement liée à un groupe de cyberespionnage présumé russe qui a mené des attaques sur des cibles ukrainiennes via des sites web compromis. L’exploit a été distribué de manière sélective, visant uniquement les utilisateurs d’iPhone de certaines régions.

Faux sites se faisant passer pour des plateformes cryptographiques

Plus tard en 2025, la même technologie est apparue sur un grand nombre de faux sites web en provenance de Chine. Beaucoup se faisaient passer pour des plateformes financières ou des services cryptographiques, y compris une page imitant la bourse de cryptomonnaie WEEX.

Lorsqu’un utilisateur d’iPhone visite un tel site, la trousse d’exploitation se charge automatiquement. Le logiciel tente ensuite de collecter les phrases de récupération et vérifie si des applications crypto populaires comme MetaMask et Uniswap sont installées sur l’appareil pour s’emparer des actifs numériques.

Possiblement développée pour le gouvernement américain

Google ne mentionne pas le nom de l’entreprise derrière la trousse d’exploitation. Cependant, selon la société de sécurité iVerify, la complexité du logiciel suggère une implication du gouvernement américain. Le cofondateur Rocky Cole a déclaré à WIRED que le développement a probablement coûté des millions de dollars et que certaines parties du code correspondent à des projets précédemment attribués au gouvernement.

L’entreprise de cybersécurité Kaspersky émet des réserves à ce sujet. Un chercheur principal a déclaré qu’il n’existe pas de preuves claires permettant de lier le code aux mêmes développeurs.

Mettez à jour votre iPhone dès que possible

La trousse d’exploitation ne fonctionne pas sur la dernière version d’iOS. Google recommande aux utilisateurs d’iPhone de mettre à jour leur appareil le plus rapidement possible. Ceux qui ne peuvent pas le faire peuvent activer le mode Lockdown d’Apple, une fonctionnalité de sécurité spécialement conçue pour limiter les cyberattaques avancées.