Tim Riset dan Analisis Global Kaspersky (GReAT) telah melakukan evaluasi mendalam terhadap eksploitasi Coruna dan menemukan bahwa alat ini merupakan versi terbaru dari kerangka kerja yang digunakan dalam kampanye spionase siber yang dikenal dengan nama Operasi Triangulasi.
Kaspersky meyakini bahwa eksploitasi kernel yang terdapat dalam Triangulasi dan Coruna berasal dari pengembang yang sama.
Analisis ini menunjukkan bahwa satu dari lima eksploitasi kernel dalam kit tersebut adalah versi terbaru dari eksploitasi yang sebelumnya ditemukan oleh Kaspersky dalam konteks Operasi Triangulasi pada tahun 2023.
Empat eksploitasi lainnya, termasuk dua yang dikembangkan setelah Operasi Triangulasi dipublikasikan, dibangun menggunakan kerangka kerja eksploitasi yang serupa.
Kesamaan dalam kode tidak hanya terbatas pada eksploitasi kernel, tetapi juga mencakup komponen lain pada Coruna, yang membuat Kaspersky menyimpulkan bahwa kit ini bukan sekadar kumpulan bagian terpisah, melainkan merupakan evolusi berkelanjutan dari kerangka kerja aslinya.
Kode tersebut mendukung berbagai prosesor, termasuk Apple A17, M3, M3 Pro, dan M3 Max, serta menyertakan referensi untuk versi iOS hingga 17.2, yang semuanya dirilis pada musim gugur dan musim dingin tahun 2023.
Lebih jauh lagi, kode ini juga mencakup pemeriksaan khusus untuk iOS 16.5 beta 4, yang merupakan versi yang dirilis Apple untuk menanggulangi kerentanan yang dilaporkan oleh Kaspersky.
“Ketika Coruna pertama kali diungkap, bukti publik yang ada tidak cukup untuk mengaitkan kodenya dengan Triangulasi—kerentanan yang sama saja tidak dapat dijadikan bukti kepemilikan bersama. Namun, setelah kami menganalisis biner secara mendalam, situasinya berubah. Coruna bukanlah sekadar tambalan dari eksploitasi yang telah dipublikasikan; ini adalah evolusi yang terus-menerus dari kerangka kerja Operasi Triangulasi yang asli. Dengan adanya pemeriksaan untuk prosesor terbaru seperti M3 dan versi iOS yang lebih mutakhir, jelas bahwa pengembang awal secara aktif memperluas basis kode ini. Apa yang awalnya dimulai sebagai alat spionase yang sangat terarah kini telah digunakan secara luas,” kata Boris Larin, peneliti keamanan utama di Kaspersky GReAT.
Kaspersky mengimbau seluruh pengguna iPhone untuk segera melakukan pembaruan ke versi iOS terbaru. Kerentanan yang dieksploitasi oleh Coruna telah ditangani oleh Apple, tetapi perangkat yang belum diupdate tetap rentan terhadap ancaman ini.
Operasi Triangulasi adalah sebuah kampanye ancaman persisten tingkat lanjut (APT) yang menargetkan perangkat iOS, yang pertama kali terungkap pada bulan Juni 2023.
