Google découvre le kit iOS « Coruna » ciblant les portefeuilles crypto
Par Emmanuel Roux
Dernière mise à jour
5 mins de lecture
Le Threat Analysis Group (TAG) de Google a identifié « Coruna », un kit d’exploit crypto sophistiqué pour iPhone qui est passé de l’espionnage d’État au vol financier de masse ciblant les portefeuilles.
Le kit d’outils, qui exploite un nombre impressionnant de 23 vulnérabilités sur les versions iOS 13,0 à 17,2,1, est actuellement déployé par des cybercriminels pour extraire les phrases de récupération (seed phrases) BIP39 des utilisateurs d’iPhone visitant des sites de jeux d’argent compromis ou de fausses plateformes d’échange.
Cela représente une escalade significative des menaces mobiles, plaçant de fait des outils de surveillance de qualité militaire entre les mains de voleurs cherchant à vider les portefeuilles MetaMask et gérés.
Cette découverte révèle une tendance inquiétante où des exploits de haut niveau, autrefois réservés aux agences de renseignement, sont réutilisés pour des activités criminelles plus larges.
Apple a corrigé les vulnérabilités spécifiques exploitées par ce kit dans iOS 17,3 et les versions ultérieures, mais le nombre considérable d’appareils fonctionnant avec des logiciels obsolètes en fait une cible lucrative.
Les utilisateurs visitant ces sites de type « watering hole » (point d’eau) sont vulnérables à une compromission immédiate par téléchargement furtif (drive-by compromise) sans aucune interaction.
A few weeks ago, Apple announce that "iPhone and iPad [are] approved to handle *classified* NATO information" 😂
Turns out even lowly cybercriminals were (ab)using 0days to hack Apple devices 🙈https://t.co/cECbR9QGRZ
— Patrick Wardle (@patrickwardle) March 3, 2026
La mécanique de l’exploit Coruna révèle un niveau d’ingénierie typiquement réservé aux acteurs étatiques, et non aux fraudeurs financiers.
Les victimes potentielles sont attirées vers des sites web malveillants se faisant passer pour des services légitimes, souvent des versions factices de l’échange WEEX ou des portails de jeux d’argent obscurs, où un framework JavaScript caché analyse l’appareil du visiteur.
Si le script détecte un modèle d’iPhone vulnérable, il délivre silencieusement une charge utile d’exécution de code à distance (RCE) WebKit, contournant les protections Pointer Authentication Code (PAC) d’Apple pour obtenir un accès au niveau système.
Une fois à l’intérieur de l’appareil, le malware ne s’embarrasse pas de tactiques de ransomware ; il s’attaque directement aux clés du coffre-fort.
Le kit lance une analyse du système de fichiers, recherchant spécifiquement les données associées aux applications d’auto-conservation populaires, exécutant une opération de vol de phrases de récupération hautement ciblée.
Il traque les images en cache de codes QR, les notes non chiffrées contenant des chaînes de sauvegarde et les conteneurs de données d’applications spécifiques pour des portefeuilles comme MetaMask et BitKeep.
Les données volées impliquent l’exfiltration des phrases mnémoniques BIP39 de 12 à 24 mots qui accordent un contrôle total sur les fonds de l’utilisateur, lesquelles sont ensuite transmises à des serveurs de commande et de contrôle via des canaux chiffrés.
Il est important de noter que ce processus se déroule entièrement en arrière-plan. La chaîne d’exploitation comprend des contournements de mesures d’atténuation sophistiqués qui lui permettent de fonctionner sans faire planter le navigateur ni alerter l’utilisateur, ce qui la rend particulièrement redoutable pour les investisseurs gérant des portefeuilles de grande valeur sur des appareils mobiles. Le kit d’outils Coruna utilise également des techniques d’obscurcissement uniques pour masquer son trafic, compliquant la détection par les filtres de sécurité mobiles standards.
Chronologie du kit d’exploit iOS Coruna Source : Cloud Google
L’attribution du TAG de Google pointe vers un marché chaotique pour les cyber-armes d’« occasion ». Initialement suivie par un fournisseur de surveillance commerciale, la vague actuelle d’attaques financières est attribuée à UNC6691, un acteur de menace motivé par l’appât du gain basé en Chine. Ce groupe semble avoir acquis le kit d’exploit complet après qu’il a déjà été utilisé par UNC6353, un groupe d’espionnage russe présumé ciblant les infrastructures ukrainiennes à la mi-2025.
Le passage de l’espionnage au vol suggère qu’une fois qu’une vulnérabilité zero-day est dans la nature, sa marchandisation est inévitable. UNC6691 a déployé le kit à grande échelle, abandonnant le ciblage précis de ses prédécesseurs russes pour une approche consistant à « ratisser large », adaptée à un exploit crypto sur iPhone.
Cette démocratisation des escroqueries avancées complique considérablement le paysage de la défense, car des outils conçus pour contourner la sécurité de niveau gouvernemental sont désormais braqués sur les investisseurs crypto de détail.
Le profil spécifique des victimes de cette campagne est étonnamment étroit mais très vulnérable : les utilisateurs d’iPhone qui n’ont pas mis à jour leur appareil au-delà d’iOS 17,2,1 et qui adoptent des comportements de navigation à haut risque.
Si vous utilisez un ancien appareil pour échanger sur des plateformes décentralisées obscures ou visiter des sites de jeux d’argent du marché gris, vous traversez essentiellement un champ de mines. La mesure de défense la plus critique est de mettre immédiatement à jour vers la dernière version d’iOS, car l’exploit Coruna repose sur des vulnérabilités qu’Apple a déjà corrigées.
Pour les utilisateurs ne pouvant pas mettre à jour leur matériel, l’activation du mode Lockdown (Isolement) d’Apple offre une défense solide contre cette vulnérabilité iOS spécifique. Il restreint les technologies web complexes comme la compilation JavaScript Just-in-Time (JIT), dont l’exploit dépend pour exécuter son code. De plus, les investisseurs sérieux devraient traiter leurs appareils mobiles comme s’ils étaient compromis.
Ne stockez jamais de phrases de récupération dans des captures d’écran ou des applications de notes, et envisagez d’utiliser un portefeuille matériel (hardware wallet) qui nécessite une confirmation physique pour les transactions.
C’est simple : si votre téléphone peut être compromis en visitant un site web, votre portefeuille chaud (hot wallet) n’est pas sûr ; c’est une boîte à dons. Restez vigilants.
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.