Globale iPhone‑angreb sporet tilbage til lækkede værktøjer fra amerikansk militærleverandør

Eskil Sørensen
03.11.2026 10:37
Et avanceret iOS‑eksploit‑kit designet til vestlige efterretningstjenester endte i hænderne på russiske spioner og kinesiske cyberkriminelle – og blev brugt i flere samtidige angrebskampagner verden over.

En omfattende række iPhone‑angreb, der har ramt brugere i både Ukraine og Kina, ser ud til at være drevet af et avanceret eksploit‑kit udviklet til vestlige efterretningstjenester - men er endt i hænderne på russiske spioner og kinesiske cyberkriminelle. Det afslører ny research fra Google og iVerify samt interviews med tidligere ansatte i L3Harris, som er omtalt i Tech Crunch.

Det omstridte toolkit, kaldet Coruna, består af 23 moduler og omfattede både zero‑click og drive‑by angreb mod iPhones med iOS 13–17.2.1. Det blev først brugt i “højt målrettede operationer” af en unavngiven regeringskunde, før det senere dukkede op i både russiske statslige kampagner og bredt skalerede, økonomisk motiverede angreb udført af kinesiske grupper.

Hvordan et kommercielt amerikansk spionværktøj kunne gennemgå så mange hænder, er stadig uklart – men der tegner sig et billede af en supply chain‑katastrofe i cyberspionagens øverste hylder.

Fra Five Eyes til Moskva og videre til kinesiske kriminelle

Ifølge to tidligere ansatte hos L3Harris’ Trenchant-division, der udvikler avancerede iOS‑udnyttelser til den amerikanske regering og dens nærmeste allierede, var Coruna (mindst delvist) et internt projekt. De tidligere medarbejdere beskriver komponenter og navne, som stemmer overens med Googles offentliggjorte tekniske detaljer.

Det får historien om den tidligere Trenchant‑chef Peter Williams til at fremstå som en sandsynlig forklaring på Corunas rejse:

  • Williams solgte i hemmelighed otte L3Harris‑eksploits til Operation Zero, en russisk 0-dags‑broker.
  • De samme værktøjer kan – ifølge anklagerne – potentielt give adgang til millioner af enheder globalt.
  • Operation Zero har direkte forbindelser til russisk efterretning og har ifølge USA videresolgt værktøjerne til ikke-autoriserede aktører, herunder cyberkriminelle.

Coruna endte hos den russiske gruppe UNC6353, der brugte den i målrettede drive‑by‑angreb mod ukrainere via kompromitterede websites. Senere dukkede mange af de samme komponenter op hos kinesiske cyberkriminelle i bredt skalerede kampagner rettet mod økonomisk gevinst.

Med andre ord har Coruna taget en tur gennem verdens cyberundergrund.

Paralleller til Operation Triangulation

Google og iVerify kobler også Coruna sammen med Operation Triangulation, en iPhone‑kampagne afsløret af Kaspersky i 2023. Triangulation anvendte bl.a. to 0-dage, kaldet Photon og Gallium, som også er centrale moduler i Coruna.

Sikkerhedsresearchere peger desuden på navngivningen af flere Coruna‑komponenter – Cassowary, Terrorbird, Bluebird, Jacurutu, Sparrow – som værende i stil med tidligere Azimuth/L3Harris‑projekter, f.eks. FBI’s berygtede Condor‑eksploit.

Kaspersky har ikke officielt tilskrevet Triangulation til USA, men firmaets historik for subtile grafiske hints (triangelbaserede logoer, farvekodet ikonografi, m.m.) har fået flere analytikere til at spekulere i, at de i praksis peger i én retning: L3Harris‑sfæren.

Et iOS‑eksploit-kit med længere levetid end forventet

Coruna understøttede angreb mod iPhones helt op til iOS 17.2.1, hvilket betyder, at en stor del af angrebsfladen lå på enheder, der stadig var i aktiv brug og at flere af Corunas eksploits var 0-dage, mens andre lænede sig op ad offentliggjorte sårbarheder-

Hvilket forklarer, hvordan flere aktørtyper kunne genbruge komponenterne i årevis

Google bemærker, at nogle angreb var ekstremt målrettede geografisk, mens andre var opportunistiske og rettet mod økonomisk gevinst.

Et supply‑chain‑havari i spionindustrien

Historien er et sjældent indblik i risikoen ved statslige cybervåben, når de slipper ud i økosystemer, der ikke længere er kontrollerede.

Corunas rejse illustrerer tre pointer:

  • Statlige eksploit-kits lækker ligesom alle andre artefakter – og konsekvenserne er globale.
  • 0-dags‑brokers fungerer som distributionsknudepunkter mellem stater, forskere og kriminelle.
  • Værktøjer designet til stealth har lang levetid, selv når producenterne helst ser dem forsvinde hurtigt.

Som en reseracher formulerer det ifølge Tech Crunch: “Når små stykker spionteknologi slipper ud, vokser de ikke. De muterer.”

 

Læs mere

Information