Het Coruna iOS exploit framework is een evolutie van het framework dat werd gebruikt in de Operation Triangulation spionagecampagne, die in 2023 iPhones aanviel via zero-click iMessage-exploits. Het framework is uitgebreid om moderne hardware te targeten, waaronder Apple's A17- en M3-chips, en ondersteunt besturingssystemen tot iOS 17.2.

Coruna bevat vijf volledige iOS-exploitketens die gebruikmaken van 23 kwetsbaarheden, waaronder CVE-2023-32434 en CVE-2023-38606, die ook in Operation Triangulation werden ingezet. Kaspersky-onderzoekers concludeerden na analyse dat Coruna een geüpdatete versie is van de exploit die sinds 2019 in Operation Triangulation werd gebruikt. De aanval start via Safari met een stager die het apparaat identificeert, waarna geschikte RCE- en PAC-exploits worden geselecteerd en versleutelde metadata worden opgehaald. De payload downloadt extra versleutelde componenten, ontsleutelt deze met ChaCha20, pakt ze uit met LZMA en verwerkt aangepaste containerformaten om pakketinformatie te verkrijgen. Afhankelijk van de architectuur en iOS-versie wordt de juiste kernel-exploit, Mach-O loader en launcher uitgevoerd om spyware te installeren.

De payloads ondersteunen ARM64 en ARM64E architecturen, met expliciete controles voor A17, M3, M3 Pro en M3 Max chips. De exploits kunnen gericht worden op iOS-versies onder onder andere 14.0 beta 7, 14.7, 16.5 beta 4, 16.6 beta 5 en 17.2. Boris Larin, principal security researcher bij Kaspersky GReAT, stelt dat Coruna geen verzameling publieke exploits is, maar een continu onderhouden evolutie van het oorspronkelijke Operation Triangulation framework. De ontwikkelaars hebben het framework bijgewerkt met controles voor nieuwere processors en iOS-versies. Coruna wordt inmiddels ook ingezet in financieel gemotiveerde campagnes gericht op het stelen van cryptocurrency via nepbeurzen, waarmee het van een precisie-spionagetool is veranderd in een breed ingezet middel.

Operation Triangulation was een geavanceerde iOS-spionagecampagne die meerdere zero-day exploits gebruikte om iPhones stilletjes te infecteren en spyware te installeren. Kaspersky ontdekte de campagne in juni 2023 tijdens interne WiFi-netwerkmonitoring, hoewel deze al vier jaar eerder was gestart. Eind 2023 bleek dat de aanvallen gebruikmaakten van niet-gedocumenteerde functies in Apple-chips om hardwarematige beveiligingen te omzeilen. Daarnaast is recent het exploit kit DarkSword openbaar gemaakt, dat net als Coruna door meerdere dreigingsactoren wordt gebruikt voor spionagedoeleinden. Apple heeft beveiligingsupdates uitgebracht om alle bekende kwetsbaarheden te verhelpen.