Ett sofistikerat hackerverktyg riktat mot iPhones, som säkerhetsforskare misstänker har sitt ursprung hos den amerikanska regeringen, har spridits och använts i statlig spionage samt storskalig kriminell verksamhet. Verktyget utnyttjar 23 sårbarheter i äldre versioner av iOS och kan kompromissa en enhet genom ett enda webbplatsbesök.
Googles säkerhetsforskare identifierade i februari 2025 ett avancerat exploateringspaket döpt till Coruna under en övervakningsoperation på uppdrag av en statlig kund. Samma verktyg dök månader senare upp i ryska spionagekampanjer riktade mot ukrainska mål och slutligen i massattacker mot kinesiskspråkiga användare, där brottslingar använde det för att stjäla kryptovaluta och personuppgifter.
Det säkerhetsföretag som har granskat verktygen mest ingående är iVerify, som efter att ha reverse-engineerat kodbasen drog slutsatsen att Coruna med stor sannolikhet har sitt ursprung hos den amerikanska regeringen. Grundaren Rocky Cole, tidigare anställd vid NSA, konstaterar att verktyget är extremt professionellt utformat, har kostat miljontals dollar att utveckla och uppvisar samma tekniska fingeravtryck som verktyg som tidigare offentligt kopplats till amerikanska statliga hackerprogram.
Coruna innehåller fem kompletta angreppskedjor och sammanlagt 23 sårbarheter i iOS-versionerna 13 till 17.2.1, vilket täcker enheter med mjukvara från september 2019 till december 2023. Angreppet sker via så kallade vattenhålsattacker – offret behöver enbart besöka en skadlig webbplats för att enheten ska kunna kompromissas utan att användaren märker något. Verktyget kontrollerar dessutom om ett offer har aktiverat Apples skyddsläge Lockdown Mode och avbryter då attacken.
Forskarna uppskattar att minst 42 000 enheter har kompromissats enbart i den kinesiskspråkiga kriminella kampanjen. Det verkliga antalet drabbade bedöms vara högre, eftersom de tidigare ryska spionageoperationerna inte räknats in i den siffran.
Fallet sätts i samband med den nyligen avdömda spionageskandalen kring Peter Williams, tidigare chef för L3Harris dotterbolag Trenchant som utvecklar övervaknings- och hackerverktyg åt den amerikanska underrättelsetjänsten. Williams dömdes i februari 2026 till sju års fängelse efter att ha sålt hackerverktyg till den ryska nolldagsbroker Operation Zero mot betalning av 1,3 miljoner dollar i kryptovaluta under perioden 2022 till 2025. Det är oklart om de verktyg Williams sålde är direkt kopplade till Coruna.
Händelsen jämförs av experter med det historiska läckaget av NSA-verktyget EternalBlue 2017, som stals och offentliggjordes av hackergruppen Shadow Brokers och sedan användes i de förödande ransomwareattackerna WannaCry och NotPetya. De attackerna drabbade sjukhus, banker och statliga myndigheter världen över och orsakade miljardförluster.
Google varnar nu för att en aktiv andrahandsmarknad för statliga hackerverktyg har uppstått, där verktyg ursprungligen framtagna för regeringskunder säljs vidare av mellanhänder till nya aktörer. Kodbasen och angreppsteknikerna i Coruna bedöms nu vara tillgängliga för ett flertal aktörer, som kan anpassa dem mot nya säkerhetsbrister i framtiden. Apple har åtgärdat de kända sårbarheterna i iOS 26, och användare uppmanas att uppdatera sina enheter omedelbart.
NSA har avböjt att kommentera påståendena om att Coruna har kopplingar till amerikanska statliga program.
Källor
Googles rapport om Coruna – iOS-exploateringspaket
Googles Threat Intelligence Group publicerade den primära tekniska genomgången av Coruna, inklusive en detaljerad analys av de fem angreppskedjorna och 23 sårbarheterna. Rapporten beskriver hur verktyget spred sig mellan olika aktörer från februari 2025.
Google Cloud Blog: https://cloud.google.com/blog/
iVerify: Rapport om Corunas ursprung och spridning
iVerify reverse-engineerade Coruna och kopplade dess kodbas till kända amerikanska statliga hackerprogram. Rapporten beskriver hur verktyget spred sig från statlig spionage till kriminell massexploatering.
iVerify: https://iverify.io
TechCrunch: Statliga hackerverktyg mot iPhone nu i kriminellas händer
TechCrunch rapporterar om Googles och iVerifys fynd och redogör för hur Coruna gick från statlig övervakningsoperation till kriminell massattack.
TechCrunch: https://techcrunch.com/2026/03/03/a-suite-of-government-hacking-tools-targeting-iphones-is-now-being-used-by-cybercriminals/
TechCrunch: Historien om L3Harris-chefen som läckte verktyg till Ryssland
En djupdykning i fallet med Peter Williams, som dömdes till sju års fängelse för att ha sålt hackerverktyg från Trenchant till den ryska nolldagsbroker Operation Zero.
TechCrunch: https://techcrunch.com/2026/02/25/inside-the-story-of-the-us-defense-contractor-who-leaked-hacking-tools-to-russia/
CyberScoop: Möjliga amerikanska exploits bakom den första kända massattacken mot iOS
CyberScoop rapporterar om fynden och sätter dem i kontexten av tidigare statliga läckor, inklusive EternalBlue 2017.
CyberScoop: https://cyberscoop.com/coruna-ios-exploit-kit-leaked-us-framework/
9to5Mac: Google och iVerify avslöjar statligt iPhone-exploateringspaket
9to5Mac förklarar Corunas tekniska uppbyggnad och ger råd till iPhone-användare om hur de skyddar sig.
9to5Mac: https://9to5mac.com/2026/03/03/google-and-iverify-reveal-government-grade-iphone-exploit-kit-spreading-to-hackers/