Coruna-Exploit: Staats-Spionagekit bedroht Millionen iPhones

Sicherheitsexperten haben ein hochgefährliches iPhone-Exploit-Kit entdeckt. Das Werkzeug mit dem Namen Coruna stammt vermutlich aus US-Regierungsbeständen und wird nun von Kriminellen gegen normale Nutzer eingesetzt. Sowohl russische Spionagegruppen als auch chinesische Finanzhacker nutzen die Software bereits aktiv.

Vom Geheimdienst zum Schwarzmarkt

Google-Forscher identifizierten das Coruna-Kit bereits im Februar 2025. Damals setzte es ein Kunde eines kommerziellen Überwachungsunternehmens ein. Analysen des Sicherheitsunternehmens iVerify zeigen: Code und Struktur deuten stark auf einen Ursprung bei oder für US-Behörden hin. Die Entwicklung eines solchen Frameworks kostet normalerweise Millionen.

Angesichts solch komplexer Cyber-Gefahren ist es für Apple-Nutzer wichtiger denn je, die Sicherheitsfunktionen ihres Geräts genau zu kennen. Dieses kostenlose Lexikon erklärt die 53 wichtigsten Begriffe rund um das iPhone verständlich und ohne Fachchinesisch. Jetzt iPhone-Lexikon gratis als PDF sichern

Das Toolkit umfasst 23 verschiedene Exploits, die über fünf Angriffsketten verbunden sind. Die professionelle Architektur und englischsprachige Dokumentation im Quellcode stützen die These vom westlichen Regierungsursprung. Die Software umgeht tiefe Sicherheitsmechanismen von Apple und erlangt weitreichenden Gerätezugriff.

So funktioniert der Angriff

Technisch nutzt Coruna Schwachstellen in Apples Browser-Engine WebKit aus. Betroffen sind iPhones mit den Betriebssystemversionen iOS 13.0 bis iOS 17.2.1 – veröffentlicht zwischen September 2019 und Dezember 2023. Der Angriff erfolgt häufig über präparierte Webseiten.

Besucht ein Nutzer mit anfälliger iOS-Version eine solche Seite, lädt das Exploit-Kit im Hintergrund. Kein Klick ist nötig. Das Framework prüft iOS-Version und Hardware, bevor es die passende Angriffskette startet. Moderne Sicherheitsfunktionen wie Apples Blockierungsmodus (Lockdown Mode) erkennt die Schadsoftware jedoch. Ist dieser aktiv, bricht der Angriff meist ab.

Von Spionen zu Krypto-Betrügern

Die Verbreitung des Toolkits alarmiert Experten. Nach ersten Beobachtungen bei Überwachungsanbietern tauchte Coruna bei der mutmaßlich russischen Spionagegruppe UNC6353 auf. Sie setzte es gezielt gegen ukrainische Nutzer ein.

Im Dezember 2025 entdeckten Forscher das Framework bei der finanzmotivierten chinesischen Hackergruppe UNC6691. Diese Cyberkriminellen bauten die Exploits in gefälschte Finanz- und Kryptowährungs-Webseiten ein. Ihr Ziel: Zugangsdaten und digitale Vermögenswerte im großen Stil stehlen. Das ist der erste bekannte Fall, in dem derart hochentwickelte Spionagewerkzeuge massenhaft gegen die Allgemeinheit eingesetzt werden.

Um sich vor solch professionellen Angriffen auf sensible Daten effektiv zu schützen, hilft oft schon das Wissen über die richtigen Einstellungen am Gerät. Erfahren Sie in diesem kompakten Guide, welche 53 iPhone-Begriffe Sie kennen sollten, um Ihr Smartphone sicher zu bedienen. Kostenloses iPhone-Wissen hier herunterladen

Wie können sich Nutzer schützen?

Sicherheitsexperten raten zu sofortigen Software-Updates. Nutzer aktueller Betriebssysteme ab iOS 17.3 sind nach aktuellem Stand geschützt. Apple hat die zugrundeliegenden Schwachstellen, darunter den kritischen Bug CVE-2024-23222, in neueren Updates bereits geschlossen.

Für besonders gefährdete Berufsgruppen wie Journalisten empfiehlt sich der Blockierungsmodus. Er reduziert die Angriffsfläche drastisch. Apple verschickt zudem Warnmeldungen an Nutzer in über 150 Ländern, wenn es Aktivitäten von hoch entwickelter Spyware erkennt. Regelmäßige Neustarts können speicherbasierte Schadsoftware stören – ersetzen aber kein Systemupdate.

Ein gefährlicher Paradigmenwechsel

Branchenanalysten ziehen Parallelen zum EternalBlue-Vorfall von 2017. Damals gelangte ein Windows-Exploit der US-Geheimdienste an die Öffentlichkeit und löste die Ransomware-Angriffe WannaCry und NotPetya aus. Die aktuelle Situation zeigt: Ein lebhafter Zweitmarkt für Zero-Day-Exploits hat sich etabliert.

Bisher galt die Annahme, dass extrem teure Spyware nur gegen hochrangige Ziele gerichtet ist. Die massenhafte Nutzung durch Kriminelle widerlegt diese These. Die Industrie muss Sicherheitsarchitekturen neu bewerten. Apple steht unter Druck, ältere Geräte länger mit Sicherheitsupdates zu versorgen – die Fragmentierung der Betriebssysteme bietet Kriminellen sonst verlässliche Angriffsflächen.

Was bedeutet das für die Zukunft?

Der Trend zu professionellen Angriffswerkzeugen auf dem Schwarzmarkt wird sich beschleunigen. Experten gehen davon aus, dass Coruna nur die Spitze des Eisbergs ist. Weitere geleakte Regierungs-Frameworks könnten bald auftauchen.

Für Verbraucher steigt die Dringlichkeit von Software-Updates weiter. Veraltete Smartphones werden zum erheblichen Sicherheitsrisiko. Auf regulatorischer Ebene dürften Forderungen nach strengerer Kontrolle des Schwachstellenhandels lauter werden. Die IT-Sicherheitsbranche muss in verhaltensbasierte Erkennungssysteme investieren, um der Demokratisierung von Cyberwaffen entgegenzuwirken.