Intrusion sur iPhone pour voler des cryptomonnaies ! Le kit d'attaque « Coruna » fait des ravages, les anciennes versions d'iOS risquent de devenir des moutons de Panurge

Auteur : Max, Crypto City

Évolution d’un outil de surveillance nationale à une « machine à récolter des actifs »
Selon un rapport approfondi publié par le groupe d’intelligence de menace de Google (GTIG), le kit de vulnérabilités iOS nommé Coruna (également appelé CryptoWaters) représente une menace grave pour les utilisateurs du monde entier. La trajectoire de développement de cet outil est très dramatique : découvert pour la première fois en février 2025, il était fourni par une entreprise privée de surveillance à des clients gouvernementaux, visant spécifiquement la surveillance précise de figures politiques et d’opposants. Plus tard, à l’été 2025, un groupe de hackers lié au gouvernement russe, UNC6353, a pris le contrôle de ce kit, l’utilisant pour des activités de renseignement géopolitique ciblant des citoyens ukrainiens.

Source : Google ｜ Chronologie de la découverte de Coruna

Avec la prolifération technologique, cet outil professionnel, coûtant plusieurs millions de dollars à développer, a officiellement pénétré le marché criminel en ligne. Entre la fin 2025 et le début 2026, un groupe de hackers chinois, UNC6691, a acquis cette technologie, redirigeant ses attaques vers le pillage d’actifs numériques. Cela marque la commercialisation d’outils d’espionnage avancés, passant d’un ciblage précis pour la collecte de renseignements à un vol massif de richesses auprès des détenteurs de cryptomonnaies ordinaires. Les chercheurs soulignent que l’investissement élevé en technologie par les hackers montre que les bénéfices potentiels liés aux actifs cryptographiques sont suffisamment importants pour motiver la criminalité financière professionnelle.

23 vulnérabilités en chaîne : infiltration silencieuse derrière le « point d’eau »
Le kit Coruna possède un degré d’automatisation et de dissimulation très élevé, intégrant 23 vulnérabilités indépendantes formant 5 chaînes d’attaque complètes. Son impact est étendu, affectant tous les iPhone et iPad fonctionnant sous iOS 13.0 à iOS 17.2.1. Les hackers utilisent une technique discrète appelée « attaque par point d’eau » (Watering Hole Attack), en infiltrant ou en créant de faux sites de cryptomonnaie et financiers pour piéger les victimes. Ces sites, comme une plateforme de trading falsifiée WEEX, ressemblent presque parfaitement à l’original, utilisant aussi le référencement naturel et la publicité payante pour augmenter leur visibilité.

Source : Google ｜ Plateforme de trading WEEX falsifiée

Lorsque des utilisateurs d’iPhone visitent ces sites contaminés, un script en arrière-plan identifie immédiatement l’appareil. Le système vérifie silencieusement la version iOS, et si celle-ci est dans la plage d’attaque, il déclenche automatiquement une vulnérabilité Zero-click, sans que l’utilisateur ait besoin d’interagir ou de cliquer sur un lien. Certains sites falsifiés proposent même de naviguer avec un appareil iOS, prétendant offrir une meilleure expérience, mais en réalité, ils ciblent précisément les appareils vulnérables qui n’ont pas encore été mis à jour.

Même des captures d’écran dans les albums photo ne sont pas épargnées
Une fois que Coruna obtient le contrôle de l’appareil, le malware PlasmaLoader s’active pour inventorier les actifs numériques de l’utilisateur. Ce programme possède une capacité de scan puissante, recherchant activement dans l’appareil des mots-clés spécifiques comme « backup phrase », « bank account » ou « seed phrase », et extrayant des données sensibles depuis les SMS et notes. La suite dispose également d’une fonction de reconnaissance d’image, permettant de scanner automatiquement les captures d’écran dans la galerie pour repérer des QR codes contenant des phrases de récupération ou des clés privées.
En plus de la collecte de données statiques, Coruna cible également les applications de portefeuille crypto populaires telles que MetaMask et Uniswap. Les hackers tentent d’extraire des informations sensibles pour prendre le contrôle complet des portefeuilles. Dans plusieurs cas connus, les fonds des victimes ont été transférés peu après leur visite sur des sites falsifiés. En raison de l’accès aux permissions profondes du système, toute trace numérique de la clé privée laissée sur le téléphone est susceptible d’être collectée par cet outil d’espionnage.

Source : Google ｜ Liste des applications vulnérables aux attaques malveillantes

Les règles de défense et conseils de survie ? La mise à jour du système est essentielle pour la sécurité
Face à ces menaces sophistiquées, les utilisateurs d’iPhone doivent adopter des mesures de protection claires. Le rapport de Google indique que Coruna est totalement inefficace contre iOS 17.3 ou supérieur. Bien que le système ait été mis à jour vers des versions plus récentes, certains utilisateurs, en raison de l’âge de leur appareil ou d’un espace de stockage insuffisant, n’ont pas effectué la mise à jour, restant ainsi exposés. Pour les appareils plus anciens ne pouvant pas être mis à jour, activer le « Mode de verrouillage (Lockdown Mode) » proposé par Apple est une contre-mesure efficace : dès que le malware détecte ce mode, il cesse de fonctionner pour éviter la détection.
Les experts en sécurité recommandent aux détenteurs de cryptomonnaies de suivre des règles de base pour leur survie. La première protection consiste à utiliser un portefeuille matériel (comme Ledger ou Trezor), qui garde la clé privée hors ligne en permanence, sans contact avec l’environnement iOS. Ensuite, il faut supprimer immédiatement toutes les captures d’écran contenant des phrases de récupération ou des clés privées dans la galerie, et privilégier une sauvegarde hors ligne sur un support physique.
Bien que Coruna évite le mode navigation privée pour réduire ses chances d’être détecté, cela ne constitue qu’une solution temporaire. Avec la valeur croissante des actifs numériques, maintenir à jour ses logiciels et rester vigilant en matière de sécurité sont désormais des devoirs fondamentaux pour chaque investisseur.