Auteur : Max, Crypto City
Évolution d’un outil de surveillance nationale à une « machine à récolter des actifs »
Selon un rapport approfondi publié par le groupe d’intelligence de menace de Google (GTIG), le kit de vulnérabilités iOS nommé Coruna (également appelé CryptoWaters) représente une menace grave pour les utilisateurs du monde entier. La trajectoire de développement de cet outil est très dramatique : découvert pour la première fois en février 2025, il était fourni par une entreprise privée de surveillance à des clients gouvernementaux, visant spécifiquement la surveillance précise de figures politiques et d’opposants. Plus tard, à l’été 2025, un groupe de hackers lié au gouvernement russe, UNC6353, a pris le contrôle de ce kit, l’utilisant pour des activités de renseignement géopolitique ciblant des citoyens ukrainiens.
Source : Google | Chronologie de la découverte de Coruna
Avec la prolifération technologique, cet outil professionnel, coûtant plusieurs millions de dollars à développer, a officiellement pénétré le marché criminel en ligne. Entre la fin 2025 et le début 2026, un groupe de hackers chinois, UNC6691, a acquis cette technologie, redirigeant ses attaques vers le pillage d’actifs numériques. Cela marque la commercialisation d’outils d’espionnage avancés, passant d’un ciblage précis pour la collecte de renseignements à un vol massif de richesses auprès des détenteurs de cryptomonnaies ordinaires. Les chercheurs soulignent que l’investissement élevé en technologie par les hackers montre que les bénéfices potentiels liés aux actifs cryptographiques sont suffisamment importants pour motiver la criminalité financière professionnelle.
23 vulnérabilités en chaîne : infiltration silencieuse derrière le « point d’eau »
Le kit Coruna possède un degré d’automatisation et de dissimulation très élevé, intégrant 23 vulnérabilités indépendantes formant 5 chaînes d’attaque complètes. Son impact est étendu, affectant tous les iPhone et iPad fonctionnant sous iOS 13.0 à iOS 17.2.1. Les hackers utilisent une technique discrète appelée « attaque par point d’eau » (Watering Hole Attack), en infiltrant ou en créant de faux sites de cryptomonnaie et financiers pour piéger les victimes. Ces sites, comme une plateforme de trading falsifiée WEEX, ressemblent presque parfaitement à l’original, utilisant aussi le référencement naturel et la publicité payante pour augmenter leur visibilité.
Source : Google | Plateforme de trading WEEX falsifiée
Lorsque des utilisateurs d’iPhone visitent ces sites contaminés, un script en arrière-plan identifie immédiatement l’appareil. Le système vérifie silencieusement la version iOS, et si celle-ci est dans la plage d’attaque, il déclenche automatiquement une vulnérabilité Zero-click, sans que l’utilisateur ait besoin d’interagir ou de cliquer sur un lien. Certains sites falsifiés proposent même de naviguer avec un appareil iOS, prétendant offrir une meilleure expérience, mais en réalité, ils ciblent précisément les appareils vulnérables qui n’ont pas encore été mis à jour.
Même des captures d’écran dans les albums photo ne sont pas épargnées
Une fois que Coruna obtient le contrôle de l’appareil, le malware PlasmaLoader s’active pour inventorier les actifs numériques de l’utilisateur. Ce programme possède une capacité de scan puissante, recherchant activement dans l’appareil des mots-clés spécifiques comme « backup phrase », « bank account » ou « seed phrase », et extrayant des données sensibles depuis les SMS et notes. La suite dispose également d’une fonction de reconnaissance d’image, permettant de scanner automatiquement les captures d’écran dans la galerie pour repérer des QR codes contenant des phrases de récupération ou des clés privées.
En plus de la collecte de données statiques, Coruna cible également les applications de portefeuille crypto populaires telles que MetaMask et Uniswap. Les hackers tentent d’extraire des informations sensibles pour prendre le contrôle complet des portefeuilles. Dans plusieurs cas connus, les fonds des victimes ont été transférés peu après leur visite sur des sites falsifiés. En raison de l’accès aux permissions profondes du système, toute trace numérique de la clé privée laissée sur le téléphone est susceptible d’être collectée par cet outil d’espionnage.
Source : Google | Liste des applications vulnérables aux attaques malveillantes
Les règles de défense et conseils de survie ? La mise à jour du système est essentielle pour la sécurité
Face à ces menaces sophistiquées, les utilisateurs d’iPhone doivent adopter des mesures de protection claires. Le rapport de Google indique que Coruna est totalement inefficace contre iOS 17.3 ou supérieur. Bien que le système ait été mis à jour vers des versions plus récentes, certains utilisateurs, en raison de l’âge de leur appareil ou d’un espace de stockage insuffisant, n’ont pas effectué la mise à jour, restant ainsi exposés. Pour les appareils plus anciens ne pouvant pas être mis à jour, activer le « Mode de verrouillage (Lockdown Mode) » proposé par Apple est une contre-mesure efficace : dès que le malware détecte ce mode, il cesse de fonctionner pour éviter la détection.
Les experts en sécurité recommandent aux détenteurs de cryptomonnaies de suivre des règles de base pour leur survie. La première protection consiste à utiliser un portefeuille matériel (comme Ledger ou Trezor), qui garde la clé privée hors ligne en permanence, sans contact avec l’environnement iOS. Ensuite, il faut supprimer immédiatement toutes les captures d’écran contenant des phrases de récupération ou des clés privées dans la galerie, et privilégier une sauvegarde hors ligne sur un support physique.
Bien que Coruna évite le mode navigation privée pour réduire ses chances d’être détecté, cela ne constitue qu’une solution temporaire. Avec la valeur croissante des actifs numériques, maintenir à jour ses logiciels et rester vigilant en matière de sécurité sont désormais des devoirs fondamentaux pour chaque investisseur.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Lorsque la DeFi est trop lente pour les jeunes et trop risquée pour les vieilles fortunes : est-ce qu’on s’accroche tous au rendement des obligations d’État pour compenser le risque des obligations pourries ?
La DeFi a autrefois attiré les jeunes avec des APY à cinq chiffres, mais elle est désormais considérée comme trop chère et trop risquée. Au cours de la dernière année, plus de 1,62 milliard de dollars ont été volés ; Aave a vu son taux grimper jusqu’à 12,4 % à un moment. Le rendement équitable est d’environ 12,55 %, avec un seuil de 18 % pour les particuliers ; les institutions préfèrent une « caisse-forte d’isolation des stratégies » afin de réduire le risque de queue. Conclusion : l’effet de levier élevé n’est plus, et à l’avenir il faudra une tarification du risque plus élevée et des instruments d’assurance pour pouvoir accueillir à la fois les jeunes et les vieux capitaux.
ChainNewsAbmediaIl y a 1h
Robinhood met en garde contre des e-mails de phishing envoyés à certains clients
Message de Gate News, 27 avril — Robinhood a alerté des utilisateurs sur les réseaux sociaux que certains clients avaient reçu, dimanche soir dernier, des e-mails frauduleux prétendant provenir de noreply@robinhood.com avec pour objet « Your recent login to Robinhood. »
La tentative de phishing découlait d’un mauvais usage du processus de création de compte, et non d’une violation des systèmes de l’entreprise ni des comptes clients
GateNewsIl y a 1h
L’échange crypto Websea fait face à une arnaque de sortie présumée, les canaux de retrait sont fermés
Message de Gate News, 27 avril — La plateforme de trading de crypto Websea a suspendu les retraits et fermé ses canaux C2C (pair-à-pair), plusieurs utilisateurs déclarant que la bourse semble avoir mis en place une arnaque de sortie. La plateforme a d’abord restreint les retraits avant de fermer complètement le canal C2C,
GateNewsIl y a 2h
Le token RAVE explose 110 fois en deux semaines, puis s'effondre de 98 % au milieu d'accusations de manipulation du marché
Message d'actualité Gate News, 27 avril — RAVE, le token natif de RaveDAO (d'un projet culturel de communauté basé sur Web3), a été multiplié par 110 en deux semaines avant de chuter de 98% en deux jours les 19-20 avril, suscitant des comparaisons avec la célèbre affaire de manipulation boursière du titre Lubo en 2007 en Corée du Sud.
Le 18 avril, RAVE r
GateNewsIl y a 5h
Recherche révèle : les joueurs de Polymarket qui gagnent 3% réalisent 30% de profit, et plus de 70% des joueurs absorbent toutes les pertes
Une nouvelle étude analyse les relevés de transactions de Polymarket sur la période 2023–2025 et montre que seulement 3,14 % des traders expérimentés détiennent plus de 30 % des profits ; la contribution de la foule ne suffit donc pas à expliquer l’exactitude globale. Elle suit également 1 950 comptes de transactions d’initiés hautement suspects ; bien qu’ils n’aient pas dominé les prédictions, ils ont amplifié la volatilité des prix. L’étude indique qu’il existe des cas où, avant que les États-Unis ne publient des informations sur les développements concernant le Venezuela, de gros paris ont été placés et ont généré des profits. L’étude remet en question la sagesse de la foule et souligne la nécessité d’une réglementation de plus en plus stricte.
ChainNewsAbmediaIl y a 6h
Plus de 40 cas d’enlèvements visant des investisseurs en cryptomonnaies en France en 2026, impliquant une fuite de données fiscales
Selon Market Forces Africa, dans un article publié le 27 avril, le nombre de cas d’enlèvements et d’attaques violentes visant des investisseurs en cryptomonnaies en France a fortement augmenté. Sur la plateforme X, le fondateur de Telegram, Pavel Durov, a déclaré que depuis le début 2026, il a recensé 41 cas d’enlèvement d’investisseurs en cryptomonnaies, soit en moyenne un cas tous les 2,5 jours, et que cela est lié à une fuite de données fiscales en France.
MarketWhisperIl y a 6h
