نشر فريق استخبارات التهديدات لدى Google المعروف باسم Google Threat Intelligence Group (GTIG) تفاصيل دقيقة حول حزمة استغلال متقدمة تحمل الاسم الداخلي Coruna، استهدفت هواتف iPhone العاملة بإصدارات نظام التشغيل iOS 13.0 وصولاً إلى iOS 17.2.1. تضمنت هذه الحزمة 5 سلاسل استغلال كاملة و23 ثغرة موزعة على طبقات حماية متعددة داخل النظام، وتكمن قيمتها التقنية العالية في اعتماد مكوناتها الأكثر تطوراً على تقنيات استغلال وتجاوزات لآليات الحماية لم يسبق نشرها علناً.
تضع Google هذه القضية في إطار اتساع نطاق القدرات السيبرانية المتقدمة وانتقالها من النطاقات الضيقة إلى أطراف متعددة؛ حيث رصدت خلال عام 2025 انتقال استخدام الحزمة من عمليات محدودة مرتبطة بعميل لدى مزود تقنيات مراقبة، إلى هجمات “حفرة الري” (Watering Hole) التي تستهدف زوار مواقع معينة، وقد طالت مستخدمين في أوكرانيا ونسبتها الشركة إلى المهاجم UNC6353 المشتبه في ارتباطه بأنشطة تجسس روسية. لاحقاً، عثرت الشركة على الحزمة كاملة ضمن حملات واسعة نفذتها مجموعة UNC6691، وهي جهة ذات دوافع مالية تعمل من الصين.
التحليل التشغيلي لمسارات الاختراق وآليات العمل داخل بيئة iOS
يبدأ الإطار التشغيلي لـ Coruna عادة عبر لغة JavaScript التي تنفذ عملية “بصمة الجهاز” (Fingerprinting) لجمع بيانات تساعد في التحقق من طراز الهاتف وإصدار نظام التشغيل والإعدادات الأمنية النشطة. يتبع ذلك تنفيذ أوامر عن بعد داخل محرك المتصفح (WebKit RCE)، ثم خطوة تجاوز رمز مصادقة المؤشر (Pointer Authentication Code)، وهو آلية حماية تمنع التلاعب بعناوين الذاكرة. وتتوقف الحزمة عن العمل تلقائياً في حال تفعيل وضع الإغلاق أو استخدام التصفح الخاص، ما يعكس قدرة الحزمة على التكيف مع البيئة الأمنية للجهاز المستهدف.
كشف التقرير عن وجود “محمل ثنائي” (Binary Loader) يتولى مهمة اختيار سلسلة الاستغلال الملائمة بعد تحقيق الاختراق الأولي داخل WebKit، مع رصد سمات فنية متقدمة في تغليف الموارد وتشفيرها وضغطها، إضافة إلى آلية اشتقاق المسارات من ملفات تعريف الارتباط الثابتة. يبرهن هذا الهيكل التنظيمي على أن Coruna ليست مجرد تجميع لثغرات متفرقة، بل هي إطار عمل متكامل وقابل لإعادة الاستخدام والتطوير المستمر، ما يسهل انتقالها بين فاعلين مختلفين بمهارات متفاوتة.
توزع رصد الحزمة خلال عام 2025 على 3 محطات زمنية رئيسية؛ بدأت في فبراير بارتباطها بعميل لشركة مراقبة عبر إطار JavaScript تميز بتمويه بسيط. وفي صيف العام ذاته، استُضيف الإطار على نطاقات فرعية واستخدم في هجمات استهدفت مستخدمين في أوكرانيا بناءً على موقعهم الجغرافي. وبحلول نهاية عام 2025، ظهرت حملات واسعة النطاق عبر مواقع مالية وهمية ومنصات عملات مشفرة استهدفت مستخدمي iOS بشكل عام، حيث استخدم المهاجمون أطر مخفية لإسقاط الحزمة على أجهزة الزوار بغض النظر عن موقعهم الجغرافي.
التوثيق التقني للثغرات والارتباطات البرمجية
يتضمن الجدول المرجعي الذي نشرته Google ربطاً لـ 23 استغلالاً بأسماء داخلية وإصدارات النظام وتصحيحاته البرمجية، وهو ما يعد أداة حيوية لخبراء الأمن رغم أن بعض روابط CVE قد تخضع للمراجعة. شملت القائمة فئة WebContent R/W التي تدرجت من ثغرات مثل buffout في الإصدارات القديمة وصولاً إلى cassowary في الإصدارات الحديثة، مع الإشارة إلى نسخ الإصلاح المتعددة. كما تضمنت القائمة فئة تجاوز حماية PAC بمسميات مثل breezy وseedbell، والتي افتقرت في بعض مواضعها إلى أرقام CVE محددة أو نسخ إصلاح محسومة.
احتوى التقرير أيضاً على فئات تتعلق بالهروب من “صندوق الحماية” (WebContent Sandbox Escape) عبر أدوات مثل IronLoader وNeuronLoader، إضافة إلى فئة “رفع الامتيازات” (Privilege Escalation PE) وتجاوز حماية PPL. لفتت Google النظر إلى أن بعض هذه العناصر مثل Photon وGallium قد استُخدمت سابقاً كـ Zero-days في عمليات معقدة كشفتها Kaspersky عام 2023، ما يربط بين Coruna ومكونات برمجية استخدمت في حملات تجسس دولية سابقة.
