Coruna: Spionage-Exploit-Kit wird für Krypto-Diebstahl
Ein hochkomplexer Satz von 23 iOS-Exploits, ursprünglich für gezielte Spionage entwickelt, wird nun von Cyberkriminellen eingesetzt, um Krypto-Wallets wie MetaMask und Phantom auszuspähen.
Datum
5. März 2026
Key Takeaways:
- Das Coruna-Kit umfasst 23 iOS-Exploits und fünf vollständige Angriffsketten für iOS 13.0 bis 17.2.1.
- Ursprünglich von einem Überwachungsanbieter genutzt, wird es nun von finanziell motivierten Angreifern für Krypto-Diebstahl eingesetzt.
- Die finale Schadsoftware PlasmaGrid zielt speziell auf Wallet-Apps wie MetaMask, Phantom und Exodus ab, um Recovery-Phrases zu stehlen.
- Google hat die betroffenen Domains zu Safe Browsing hinzugefügt. Nutzer sollten ihr iOS sofort aktualisieren oder den Lockdown-Modus aktivieren.
Vom Spionagewerkzeug zur Krypto-Bedrohung
Google-Forscher haben ein zuvor undokumentiertes, äußerst mächtiges Exploit-Kit für iOS entdeckt und analysiert. Unter dem Namen Coruna vereint es 23 einzelne Exploits zu fünf vollständigen Angriffsketten, die iPhones von iOS 13.0 bis zur Version 17.2.1 (Dezember 2023) kompromittieren können.
Die Besonderheit: Das Kit wurde erstmals im Februar 2025 bei einem Kunden eines kommerziellen Überwachungsanbieters beobachtet – ein klassisches Werkzeug für gezielte Spionage. Bis Ende 2025 hatte es jedoch den Weg in die Hände krimineller Akteure gefunden, die es auf Fake-Websites für Glücksspiel und Kryptowährungen einsetzten.
„Wie diese Verbreitung stattfand, ist unklar, aber es deutet auf einen aktiven Markt für 'Second-Hand'-Zero-Day-Exploits hin“, so die Google-Forscher.
So funktioniert der hochkomplexe Angriff
Das Coruna-Kit ist technisch hoch ausgereift und nutzt eine Kombination aus bekannten und nicht-öffentlichen Schwachstellen. Seine Fähigkeiten umfassen:
- WebKit Remote Code Execution (Fernausführung von Code)
- Umgehungen des Pointer Authentication Code (PAC)
- Sandbox-Escapes (Ausbruch aus der Sicherheits-Sandbox)
- Kernel-Privilege-Eskalation
- Umgehungen der Page Protection Layer (PPL)
Das Kit erkennt zunächst das Gerät und die iOS-Version und wählt dann automatisch die passende Exploit-Kette aus. Interessant: Aktiviert der Nutzer den Lockdown-Modus oder den privaten Browsing-Modus, bricht der Angriff ab – ein klares Zeichen für die Zielgenauigkeit des ursprünglichen Designs.
Das finale Ziel: Ihre Krypto-Wallets
Nach erfolgreicher Kompromittierung des iPhones wird die Schadsoftware PlasmaGrid (auch PlasmaLoader genannt) installiert. Ihr Ziel ist nicht klassische Spionage, sondern der Diebstahl von Kryptowährungen.
Die Malware lädt Module nach, die speziell folgende Wallet-Apps ausspähen:
- MetaMask
- Phantom
- Exodus
- BitKeep
- Uniswap
Gesucht werden dabei:
- Wallet Recovery Phrases (BIP39)
- Sensitive Textstrings wie „backup phrase“ oder „bank account“
- Daten aus den Apple Notizen (Memos)
Die gestohlenen Daten werden vor der Übermittlung an die Server der Angreifer mit AES verschlüsselt. Für Ausfallsicherheit nutzt die Malware zudem einen Domain-Generierungs-Algorithmus (DGA).
Ein Warnsignal für die gesamte Branche
Die Migration des Coruna-Kits von staatlicher Spionage zu massenhafter Kriminalität ist ein alarmierender Präzedenzfall. Das Mobile-Security-Unternehmen iVerify kommentiert:
„Coruna ist eines der klarsten Beispiele dafür, wie sich hochsophistische, spionagefähige Werkzeuge von kommerziellen Überwachungsanbietern in die Hände von Nationalstaaten und schließlich in Massen-Kriminaloperationen verlagern.“
Die Tools, die einst für das Targeting von Staatsoberhäuptern reserviert waren, werden nun gegen normale iPhone-Nutzer eingesetzt. Dies unterstreicht die rasante Entwicklung der Bedrohungslandschaft im Mobile-Bereich.
So schützen Sie sich
Google hat alle im Zusammenhang mit Coruna identifizierten Websites und Domains in Safe Browsing aufgenommen, um Nutzer zu warnen. Für iPhone-Besitzer, insbesondere solche mit Krypto-Wallets, gelten zwei zentrale Empfehlungen:
- Aktualisieren Sie Ihr iOS sofort auf die neueste Version. Viele der ausgenutzten Schwachstellen sind in aktuellen Patches behoben.
- Aktivieren Sie den Lockdown-Modus, falls ein Update nicht möglich ist. Dieser Modus unterbricht den Angriffsfluss des Coruna-Kits.
Die Geschichte von Coruna zeigt: Die Grenzen zwischen hochspezialisierter Spionage und breit angelegter Cyberkriminalität verschwimmen zunehmend – mit direkten Folgen für die Sicherheit von Krypto-Anlegern.