
Coruna는 세 가지 해킹 그룹이 사용하는 것으로도 유명합니다. 구글은 지난해 2월 ‘감시 업체의 고객’이 수행한 작업에서 이같은 사용을 처음 발견했다. CVE-2025-23222로 추적되는 악용된 취약점은 13개월 전에 패치되었습니다. 2025년 7월, “러시아 스파이로 의심되는 그룹”은 우크라이나 대상이 자주 방문하는 웹 사이트에 심어진 공격에서 CVE-2023-43000을 악용했습니다. 지난 12월, “금전적 동기를 지닌 중국의 위협 행위자”가 이를 사용했을 때 Google은 전체 익스플로잇 킷을 검색할 수 있었습니다.
구글은 “이러한 확산이 어떻게 발생했는지는 불분명하지만 ‘중고’ 제로데이 익스플로잇 시장이 활발하다는 것을 시사한다”고 밝혔습니다. “이러한 식별된 익스플로잇 외에도 여러 위협 행위자가 이제 새로 식별된 취약점으로 재사용하고 수정할 수 있는 고급 익스플로잇 기술을 획득했습니다.”
Google 연구원들은 계속해서 다음과 같이 썼습니다.
우리는 페이로드 종료를 포함하여 모든 난독화된 익스플로잇을 검색했습니다. 추가 분석을 통해 우리는 공격자가 내부 코드 이름을 포함하여 모든 공격을 명확하게 남겨두고 익스플로잇 키트의 디버그 버전을 배포한 사례를 발견했습니다. 그때 우리는 익스플로잇 킷이 내부적으로 Coruna로 명명되었을 가능성이 높다는 사실을 알게 되었습니다. 전체적으로 우리는 총 5개의 전체 iOS 익스플로잇 체인을 포괄하는 수백 개의 샘플을 수집했습니다. 이 익스플로잇 킷은 iOS 버전 13.0(2019년 9월 출시)부터 버전 17.2.1(2023년 12월 출시)을 실행하는 다양한 iPhone 모델을 대상으로 할 수 있습니다.
코드명 및 기타 정보와 함께 23개의 익스플로잇은 다음과 같습니다.
| 유형 | 코드명 | 대상 버전(포함) | 고정 버전 | CVE |
| 웹콘텐츠 R/W | 버프 아웃 | 13 → 15.1.1 | 15.2 | CVE-2021-30952 |
| 웹콘텐츠 R/W | 자쿠루투 | 15.2 → 15.5 | 15.6 | CVE-2022-48503 |
| 웹콘텐츠 R/W | 블루버드 | 15.6 → 16.1.2 | 16.2 | CVE 없음 |
| 웹콘텐츠 R/W | 테러버드 | 16.2 → 16.5.1 | 16.6 | CVE-2023-43000 |
| 웹콘텐츠 R/W | 화식조 | 16.6 → 17.2.1 | 16.7.5, 17.3 | CVE-2024-23222 |
| WebContent PAC 우회 | 상쾌한 | 13 → 14.x | ? | CVE 없음 |
| WebContent PAC 우회 | 미풍15 | 15 → 16.2 | ? | CVE 없음 |
| WebContent PAC 우회 | 종 | 16.3 → 16.5.1 | ? | CVE 없음 |
| WebContent PAC 우회 | Seedbell_16_6 | 16.6 → 16.7.12 | ? | CVE 없음 |
| WebContent PAC 우회 | 종종_17 | 17 → 17.2.1 | ? | CVE 없음 |
| WebContent 샌드박스 탈출 | 아이언로더 | 16.0 → 16.3.116.4.0(<= A12) | 15.7.8, 16.5 | CVE-2023-32409 |
| WebContent 샌드박스 탈출 | 뉴런로더 | 16.4.0 → 16.6.1 (A13-A16) | 17.0 | CVE 없음 |
| 체육 | 중성자 | 13.X | 14.2 | CVE-2020-27932 |
| PE(정보 유출) | 발전기 | 13.X | 14.2 | CVE-2020-27950 |
| 체육 | 흔들리는 추 | 14 → 14.4.x | 14.7 | CVE 없음 |
| 체육 | 광자 | 14.5 → 15.7.6 | 15.7.7, 16.5.1 | CVE-2023-32434 |
| 체육 | 시차 | 16.4 → 16.7 | 17.0 | CVE-2023-41974 |
| 체육 | 그루버 | 15.2 → 17.2.1 | 16.7.6, 17.3 | CVE 없음 |
| PPL 바이패스 | 쿼크 | 13.X | 14.5 | CVE 없음 |
| PPL 바이패스 | 갈륨 | 14.x | 15.7.8, 16.6 | CVE-2023-38606 |
| PPL 바이패스 | 카본 | 15.0 → 16.7.6 | 17.0 | CVE 없음 |
| PPL 바이패스 | 참새 | 17.0 → 17.3 | 16.7.617.4 | CVE-2024-23225 |
| PPL 바이패스 | 로켓 | 17.1 → 17.4 | 16.7.8, 17.5 | CVE-2024-23296 |
CISA는 카탈로그에 CVE 중 3개만 추가하고 있습니다. 그들은:
- CVE-2021-30952 Apple 여러 제품 정수 오버플로 또는 랩어라운드 취약점
- CVE-2023-41974 Apple iOS 및 iPadOS Use-After-Free 취약점
- CVE-2023-43000 Apple 여러 제품 Use-After-Free 취약점
CISA는 기관에 “공급업체 지침에 따라 완화 조치를 적용하고, 클라우드 서비스에 대한 해당 지침을 따르거나, 완화 조치를 사용할 수 없는 경우 제품 사용을 중단”하도록 지시하고 있습니다. 기관은 계속해서 다음과 같이 경고했습니다. “이러한 유형의 취약점은 악의적인 사이버 행위자에 대한 빈번한 공격 벡터이며 연방 기업에 심각한 위험을 초래합니다.”