Ranjivost Coruna privukla je pažnju tri različite hakerske skupine. Google je prvi put otkrio njezinu upotrebu u veljači prošle godine tijekom operacije koju je proveo ‘kupac dobavljača nadzora’. Ranjivost, označena kao CVE-2025-23222, zakrpana je 13 mjeseci ranije. U srpnju 2025. godine, ‘sumnjiva ruska špijunska skupina’ iskoristila je CVE-2023-43000 u napadima na web stranice koje su često posjećivale ukrajinske mete. Prošlog prosinca, kada ju je koristila ‘financijski motivirana prijetnja iz Kine’, Google je uspio preuzeti cijeli paket alata za iskorištavanje.
‘Kako je došlo do ove proliferacije, nije jasno, ali sugerira aktivno tržište za ‘rabljenim’ zero-day ranjivostima’, napisao je Google. ‘Osim ovih identificiranih ranjivosti, više prijetnji sada je steklo napredne tehnike iskorištavanja koje se mogu ponovo koristiti i modificirati s novootkrivenim ranjivostima.’
Googleovi istraživači su nastavili: ‘Preuzeli smo sve obfuscirane alate, uključujući završne terete. Nakon daljnje analize, primijetili smo slučaj u kojem je akter implementirao verziju alata za iskorištavanje s debagiranjem, ostavljajući jasne sve exploite, uključujući njihove interne kodne nazive. Tada smo saznali da je paket alata vjerojatno interno nazvan Coruna. Ukupno smo prikupili nekoliko stotina uzoraka koji pokrivaju pet punih iOS lanaca iskorištavanja. Paket alata može ciljati razne modele iPhonea koji koriste iOS verziju 13.0 (izdan u rujnu 2019.) do verzije 17.2.1 (izdan u prosincu 2023.).
Među 23 exploita, zajedno s kodnim nazivima i drugim informacijama, su:
Vrsta | Kodna oznaka | Ciljane verzije (uključivo) | Popravljene verzije | CVE
WebContent R/W | buffout | 13 → 15.1.1 | 15.2 | CVE-2021-30952
WebContent R/W | jacurutu | 15.2 → 15.5 | 15.6 | CVE-2022-48503
WebContent R/W | bluebird | 15.6 → 16.1.2 | 16.2 | Nema CVE
WebContent R/W | terrorbird | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000
WebContent R/W | cassowary | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222
…
CISA dodaje samo tri CVE-a u svoj katalog, a to su: CVE-2021-30952, CVE-2023-41974 i CVE-2023-43000. CISA savjetuje agencijama da ‘primijene mjere prema uputama dobavljača, slijede relevantne smjernice za cloud usluge ili obustave korištenje proizvoda ako mjere nisu dostupne.’ Agencija je također upozorila: ‘Ove vrste ranjivosti su česti napadi za zlonamjerne kibernetičke aktere i predstavljaju značajne rizike za savezni sektor.’
