Vũ khí hack iPhone của chính phủ Mỹ bị tuồn ra chợ đen, vét sạch ví tiền ảo của người dùng

Một bộ công cụ tấn công iPhone cực kỳ tinh vi mang tên Coruna vừa bị phát hiện đang lan truyền trên thị trường chợ đen, sau khi nhiều dấu hiệu cho thấy nó có nguồn gốc từ các chương trình giám sát của chính phủ Mỹ. Khi rơi vào tay tội phạm mạng, công cụ này đã được sử dụng để tấn công hàng chục nghìn thiết bị và đánh cắp tiền điện tử của người dùng.

Theo phân tích từ nhóm nghiên cứu bảo mật của Google, bộ công cụ Coruna được thiết kế để khai thác các lỗ hổng trong hệ điều hành iOS, nhắm vào các thiết bị iPhone chạy từ iOS 13 đến iOS 17.2.1. Bộ công cụ này đặc biệt nguy hiểm khi tích hợp tới 23 lỗ hổng bảo mật và được tổ chức thành năm chuỗi tấn công hoàn chỉnh, cho phép kẻ tấn công chiếm quyền kiểm soát thiết bị chỉ bằng cách khiến nạn nhân truy cập vào một trang web độc hại.

Các chuyên gia cho biết giá trị kỹ thuật của Coruna nằm ở việc tập hợp nhiều kỹ thuật khai thác iOS tiên tiến, bao gồm cả những phương pháp chưa từng được công bố. Hệ thống tấn công được xây dựng rất bài bản, trong đó các đoạn mã khai thác được liên kết với nhau thông qua một khung JavaScript có khả năng nhận diện thiết bị, xác định chính xác mẫu iPhone và phiên bản iOS đang chạy trước khi tung ra lỗ hổng phù hợp.

Sau khi xâm nhập thành công, phần mềm độc hại được cài vào thiết bị sẽ tải thêm các module từ máy chủ điều khiển của hacker. Những module này cho phép thu thập dữ liệu nhạy cảm và đặc biệt là truy cập vào các ví tiền điện tử được cài trên điện thoại, bao gồm những ứng dụng phổ biến như Base, Bitget Wallet, Exodus hay MetaMask.

Điều khiến các chuyên gia lo ngại hơn là hành trình lan truyền của bộ công cụ này. Google cho biết các dấu vết đầu tiên của Coruna xuất hiện vào đầu năm 2025 trong một hệ thống giám sát thương mại chưa xác định. Sau đó, công cụ này lần lượt rơi vào tay một nhóm tấn công được cho là có liên quan tới chính phủ, trước khi tiếp tục bị sử dụng bởi các nhóm tội phạm mạng hoạt động vì mục đích tài chính.

Đến tháng 7/2025, khung khai thác này được phát hiện trên một số website tại Ukraine đã bị xâm nhập. Khi người dùng iPhone truy cập vào các trang web đó, một khung iFrame ẩn sẽ được tải về để kích hoạt chuỗi tấn công. Chiến dịch này được cho là do một nhóm gián điệp mạng có liên quan tới Nga thực hiện, nhắm vào một số mục tiêu cụ thể.

Chỉ vài tháng sau, vào cuối năm 2025, một phiên bản khác của Coruna tiếp tục xuất hiện trong một chiến dịch tấn công quy mô lớn hơn. Hàng loạt trang web giả mạo bằng tiếng Trung, chủ yếu liên quan đến lĩnh vực tài chính, được dựng lên để dụ người dùng truy cập bằng iPhone. Khi nạn nhân truy cập, bộ khai thác sẽ tự động được kích hoạt để chiếm quyền thiết bị.

Công ty bảo mật iVerify cho rằng Coruna có nhiều điểm tương đồng với các công cụ tấn công từng được phát triển trong những chương trình giám sát của chính phủ Mỹ. Theo đồng sáng lập iVerify, Rocky Cole, bộ công cụ này có mức độ tinh vi rất cao, chi phí phát triển có thể lên tới hàng triệu USD và mang nhiều dấu hiệu kỹ thuật từng xuất hiện trong các chiến dịch do Mỹ thực hiện trước đây.

Ông Cole nhận định đây có thể là lần đầu tiên một công cụ tấn công cấp độ gián điệp, vốn được phát triển cho các cơ quan chính phủ, bị rò rỉ và lan rộng ra ngoài, sau đó rơi vào tay cả các đối thủ quốc gia lẫn tội phạm mạng. Trong một số chiến dịch, công cụ này thậm chí đã được sử dụng để tấn công quy mô lớn thay vì chỉ nhắm vào mục tiêu cụ thể như các phần mềm gián điệp trước đây.

Theo ước tính của iVerify, một biến thể của Coruna có thể đã được sử dụng để tấn công khoảng 42.000 thiết bị iPhone trong một chiến dịch mạng tấn công. Điều này cho thấy các công cụ từng được phát triển cho mục đích tình báo đang dần bị thương mại hóa và tái sử dụng cho các hoạt động tội phạm.

Các chuyên gia bảo mật cho rằng cách phòng vệ hiệu quả nhất hiện nay vẫn là cập nhật hệ điều hành iOS lên phiên bản mới nhất. Apple đã vá nhiều lỗ hổng bị Coruna khai thác trong các bản cập nhật gần đây, khiến bộ công cụ này không còn hoạt động trên các phiên bản iOS mới.

Sự việc cũng một lần nữa làm dấy lên tranh cãi về việc các chính phủ phát triển công cụ tấn công mạng cho mục đích điều tra và tình báo. Khi những công cụ này bị rò rỉ, chúng có thể nhanh chóng trở thành vũ khí trong tay tội phạm, gây ra những hậu quả khó lường đối với người dùng bình thường.