De Coruna iOS-exploitkit maakt gebruik van een geüpdatete versie van dezelfde kernel-exploitcode die in 2023 werd ingezet tijdens de Operation Triangulation-campagne. Dit blijkt uit onderzoek van Kaspersky, dat aantoont dat de exploitkit continu wordt onderhouden en uitgebreid door dezelfde ontwikkelaars. Waar Triangulation aanvankelijk een gericht spionage-instrument was, wordt Coruna nu breed ingezet in grootschalige aanvallen.

Coruna richt zich op Apple iPhones met iOS-versies van 13.0 tot 17.2.1 en bevat vijf volledige exploitketens met in totaal 23 exploits, waaronder de zero-day kwetsbaarheden CVE-2023-32434 en CVE-2023-38606. De exploitkit wordt gebruikt door een vermoedelijk door Rusland gesteunde actor in watering hole-aanvallen in Oekraïne en in een massale campagne via nep-Chinese gok- en cryptowebsites, die malware verspreidt onder de naam PlasmaLoader (ook bekend als PLASMAGRID).

Kaspersky stelt dat de kernel-exploits in zowel Triangulation als Coruna door dezelfde auteur zijn ontwikkeld. Coruna bevat daarnaast vier extra kernel-exploits en ondersteunt nieuwere Apple-processors zoals de A17, M3, M3 Pro en M3 Max, evenals recente iOS-versies. De aanvallen beginnen wanneer een gebruiker een geïnfecteerde website bezoekt via Safari, waarna een stager de browser en het besturingssysteem identificeert om de juiste exploit te laden. Vervolgens wordt een payload uitgevoerd die de kernel-exploit activeert en de malware installeert.

De exploitkit is oorspronkelijk ontwikkeld voor cyber-spionage, maar wordt nu door bredere cybercriminelen ingezet, waardoor miljoenen gebruikers met niet-gepatchte apparaten risico lopen. Door het modulaire ontwerp en de herbruikbaarheid verwacht Kaspersky dat meer dreigingsactoren deze exploitkit zullen integreren in hun aanvallen.