Lækkede statslige iPhone‑hackingværktøjer dukker nu op i kriminelle angreb

Eskil Sørensen

03.09.2026 11:17

Et avanceret exploitsæt, oprindeligt udviklet til en statslig aktør, er nu i cirkulation blandt både efterretningsgrupper og økonomisk motiverede cyberkriminelle.

Sikkerhedsforskere hos Google og iVerify har identificeret et omfattende exploitsæt målrettet iPhones, som tilsyneladende har bevæget sig fra en statslig kunde til bred brug blandt både spionagegrupper og almindelige cyberkriminelle. Eksploitpakken – kaldet Coruna – blev ifølge Google første gang observeret i februar 2025 i forbindelse med et forsøg fra en kommerciel overvågningsleverandør på at kompromittere en enhed på vegne af en government‑kunde.

Det skriver Tech Crunch.

I månederne efter dukkede de samme værktøjer op i helt andre hænder: først i en kampagne mod ukrainske brugere udført af en russisk efterretningsgruppe, senere hos en økonomisk motiveret angriber i Kina. Hvordan værktøjerne er lækket, står stadig uklart.
Ifølge Google og iVerify viser hændelsen en voksende tendens: et marked for secondhand exploits, hvor statslige eller kommercielle offensive værktøjer får et “andet liv” hos hackere, der ønsker at udnytte dem til spionage, afpresning eller almindelig kriminalitet.

23 sårbarheder kædet sammen i ét klik-angreb

Coruna‑kittet beskrives som teknisk avanceret og lettilgængeligt for den aktør, der får fat i det. Kernen i angrebet er en såkaldt watering hole‑kampagne, hvor målet kompromitteres alene ved at besøge en ondsindet hjemmeside. Eksploitkoden udnytter en kæde af 23 sårbarheder i forskellige komponenter i iOS, og Google skriver, at værktøjet kan kompromittere enheder fra iOS 13 og helt op til version 17.2.1 (december 2023).

Google vurderer, at angrebet ikke kræver brugerinteraktion ud over et besøg på et manipuleret website – et scenarie, som efterhånden er velkendt fra andre mobile exploitkæder, men som stadig demonstrerer, hvor højt niveauet er i den globale exploit‑økonomi.

Mulige forbindelser til tidligere amerikanske værktøjer

Sikkerhedsfirmaet iVerify har reverse‑engineeret Coruna‑kittet og mener, at flere tekniske elementer ligner tidligere værktøjer, der er blevet tilskrevet amerikanske myndigheder. Det betyder dog ikke nødvendigvis, at lækket stammer direkte fra en amerikansk tjeneste.

Lækkede statslige hackingværktøjer er sjældne, men ikke uden historisk fortilfælde. NSA’s værktøjet EternalBlue, der blev stjålet i 2017, endte kort efter i hænderne på både cyberkriminelle og nationale aktører, og blev bl.a. brugt i WannaCry-angrebet.

Et voksende marked for “brugte” exploits

Googles sikkerhedsforskere advarede samtidig om et voksende marked, hvor exploits der tidligere har været forbeholdt statslige kunder, videresælges til hackere med helt andre motiver. Coruna‑kittet er et konkret eksempel på den bevægelse – én gang udviklet til målrettede overvågningsoperationer, nu genanvendt i både statsstyrede og økonomisk motiverede angreb.

Nyheden kommer samtidig med afsløringen af, at en tidligere leder hos den amerikanske forsvarsleverandør L3Harris Trenchant er idømt fængsel for at have stjålet og solgt statslige exploits til en kendt russisk broker. Ifølge anklagemyndighederne var værktøjerne i stand til at kompromittere “millioner af enheder”.

Når værktøjerne forlader værktøjskassen

Coruna‑kittet er endnu et eksempel på, hvordan offensive værktøjer designet til “kontrolleret brug” kan slippe ud i det fri og bruges til langt bredere angreb end tiltænkt.
For sikkerhedsprofessionelle betyder det også, at grænsen mellem statslige og kriminelle trusler bliver stadig mere flydende. Når et værktøj først er lækket, bliver det kun et spørgsmål om tid, før det bliver industrialiseret og automatiseret – og dermed brugt langt ud over sin oprindelige kontekst.

Læs mere

https://techcrunch.com/2026/03/03/a-suite-of-government-hacking-tools-targeting-iphones-is-now-being-used-by-cybercriminals/

Trusselsvurdering