Le kit Coruna émerge du cadre de l'opération Triangulation
Les chercheurs en sécurité ont identifié un nouveau kit d'exploitation iOS appelé Coruna qui s'appuie directement sur le cadre sophistiqué utilisé dans l'opération Triangulation, la campagne d'espionnage de haut niveau qui a ciblé les iPhones tout au long de 2023. La découverte, rapportée le 26 mars 2026, révèle comment les acteurs de la menace continuent d'arme les exploits iMessage sans clic précédemment divulgués pour des attaques continues contre les appareils iOS.
L'opération Triangulation a initialement été révélée lorsque les chercheurs de Kaspersky ont découvert que leurs propres iPhones d'entreprise avaient été compromis par une chaîne complexe d'exploits zero-day livrés via iMessage. La campagne a exploité plusieurs vulnérabilités iOS, y compris CVE-2023-32434 dans le noyau et CVE-2023-32435 dans le moteur WebKit de Safari, pour obtenir une compromission complète de l'appareil sans aucune interaction utilisateur requise.
Le kit d'exploitation Coruna représente une évolution préoccupante de ces techniques, suggérant que le cadre d'exploitation sous-jacent a été adapté et potentiellement distribué à d'autres acteurs de la menace. Les analystes en sécurité rapportent que le kit maintient la même chaîne d'exploitation sophistiquée en plusieurs étapes qui a rendu l'opération Triangulation si efficace, y compris la capacité de contourner les mécanismes de sécurité iOS et d'établir un accès persistant aux appareils compromis.
Ce qui rend Coruna particulièrement dangereux, c'est sa rétention du mécanisme de livraison sans clic qui caractérisait la campagne originale. Les cibles reçoivent des pièces jointes iMessage spécialement conçues qui déclenchent automatiquement la chaîne d'exploitation à la réception, ne nécessitant aucune interaction utilisateur. Cette approche contourne la formation traditionnelle de sensibilisation à la sécurité et rend la détection beaucoup plus difficile pour les utilisateurs individuels et les équipes de sécurité d'entreprise.
Le moment de l'émergence de Coruna est significatif, car il survient plus de deux ans après qu'Apple a publié des correctifs pour les vulnérabilités exploitées dans l'opération Triangulation. Cependant, l'efficacité du kit suggère que de nombreux appareils iOS restent non corrigés ou que le cadre a été adapté pour exploiter des vulnérabilités supplémentaires qui ont depuis été découvertes.
Les utilisateurs d'appareils iOS font face à des menaces de triangulation renouvelées
Le kit d'exploitation Coruna cible principalement les appareils iOS, avec un accent particulier sur les iPhones exécutant des versions plus anciennes du système d'exploitation qui ne disposent pas de correctifs pour les vulnérabilités de l'opération Triangulation. Les appareils exécutant des versions iOS antérieures à 16.6 restent particulièrement vulnérables, car ces versions contiennent les failles non corrigées du noyau et de WebKit qui forment la base de la chaîne d'exploitation.
Les environnements d'entreprise font face à un risque accru en raison de la prévalence des appareils iOS gérés qui peuvent ne pas recevoir de mises à jour de sécurité en temps opportun. Les organisations utilisant des solutions de gestion des appareils mobiles (MDM) devraient donner la priorité aux vérifications immédiates de l'inventaire pour identifier les appareils exécutant des versions iOS vulnérables. La nature sans clic des attaques signifie que même les utilisateurs conscients de la sécurité qui évitent les liens ou pièces jointes suspects restent à risque.
Les cibles de grande valeur, y compris les responsables gouvernementaux, les journalistes, les militants et les dirigeants d'entreprise, représentent les victimes les plus probables, reflétant les schémas de ciblage observés lors de la campagne originale de l'opération Triangulation. La nature sophistiquée du kit d'exploitation suggère qu'il est probablement utilisé pour l'espionnage ciblé plutôt que pour l'exploitation de masse, bien que le potentiel de distribution plus large reste une préoccupation.
Le ciblage géographique semble se concentrer sur les régions où la campagne originale de l'opération Triangulation était la plus active, y compris certaines parties de l'Europe, de l'Asie et du Moyen-Orient. Cependant, la nature modulaire du cadre Coruna signifie qu'il pourrait être rapidement déployé contre des cibles dans n'importe quelle région géographique où les acteurs de la menace ont un intérêt opérationnel.
Mesures de sécurité iOS immédiates et conseils de détection
Les organisations et les utilisateurs individuels doivent immédiatement vérifier que tous les appareils iOS sont mis à jour vers les dernières versions disponibles. Les appareils doivent exécuter iOS 16.6 ou une version ultérieure pour garantir une protection contre les vulnérabilités principales exploitées par l'opération Triangulation et le kit Coruna. Les utilisateurs peuvent vérifier leur version iOS en accédant à Réglages > Général > À propos et en examinant le numéro de version du logiciel.
Pour les environnements d'entreprise, les administrateurs doivent utiliser leurs plateformes MDM pour pousser des mises à jour iOS immédiates à tous les appareils gérés. Les organisations utilisant Microsoft Intune peuvent déployer des profils de configuration qui imposent des versions iOS minimales, tandis que celles utilisant VMware Workspace ONE peuvent tirer parti des politiques de conformité pour identifier et remédier aux appareils vulnérables. Les utilisateurs de Jamf Pro devraient mettre en œuvre des groupes intelligents pour identifier automatiquement les appareils nécessitant des mises à jour de sécurité.
La détection au niveau du réseau se concentre sur l'identification des communications de commande et de contrôle qui suivent une exploitation réussie. Les équipes de sécurité doivent surveiller les connexions sortantes inhabituelles des appareils iOS, en particulier le trafic chiffré vers des domaines ou adresses IP inconnus. La campagne originale de l'opération Triangulation utilisait une infrastructure C2 sophistiquée qui changeait fréquemment de domaines et utilisait des services cloud légitimes pour la livraison de commandes.
Le mode de verrouillage d'Apple offre une protection supplémentaire pour les utilisateurs à haut risque qui peuvent être spécifiquement ciblés par des groupes de menaces persistantes avancées. Cette fonctionnalité, disponible dans iOS 16 et versions ultérieures, réduit considérablement la surface d'attaque en désactivant diverses fonctionnalités iOS couramment exploitées dans les attaques sophistiquées. Les utilisateurs peuvent activer le mode de verrouillage via Réglages > Confidentialité et sécurité > Mode de verrouillage, bien que cela affecte la fonctionnalité de l'appareil et devrait être réservé aux utilisateurs confrontés à de véritables menaces avancées.
Les équipes de réponse aux incidents doivent se préparer à d'éventuelles infections Coruna en établissant des procédures pour la criminalistique et le confinement des appareils iOS. Les experts en sécurité recommandent de mettre en œuvre des solutions de défense contre les menaces mobiles qui peuvent détecter des comportements iOS anormaux indicatifs d'une exploitation avancée. Les organisations devraient également envisager de mettre en œuvre des architectures réseau à confiance zéro qui limitent l'impact potentiel des appareils mobiles compromis sur l'infrastructure critique.
