Báo cáo của Google Threat Intelligence Group (GTIG) công bố tháng 3/2026 cho thấy một bộ exploit iOS có tên Coruna đang được sử dụng để nhắm vào các ứng dụng ví tiền điện tử trên iPhone. Công cụ này kết hợp 23 lỗ hổng bảo mật trong 5 chuỗi khai thác, cho phép kẻ tấn công truy cập dữ liệu trên thiết bị và tìm kiếm seed phrase BIP39 nếu người dùng lưu trữ chúng dưới dạng văn bản. Theo phân tích của GTIG, Coruna ban đầu được phát triển cho mục đích giám sát, nhưng sau đó đã bị tái sử dụng trong các chiến dịch đánh cắp tiền điện tử quy mô lớn.
Những điểm chính cần ghi nhớ
Coruna là bộ exploit iOS được Google Threat Intelligence Group phát hiện, sử dụng 5 chuỗi khai thác với tổng cộng 23 lỗ hổng để truy cập dữ liệu trên iPhone.
Malware tìm kiếm seed phrase BIP39 và dữ liệu ví tiền điện tử nếu người dùng lưu chúng trong các ứng dụng như Messages hoặc Notes.
Các ví tiền điện tử phổ biến như MetaMask, Phantom, Trust Wallet, Uniswap và Exodus nằm trong số những mục tiêu bị nhắm tới.
Công cụ này xuất hiện trong các chiến dịch giám sát mục tiêu từ năm 2025, trước khi bị tái sử dụng trong các hoạt động đánh cắp tiền điện tử.
Các chuyên gia khuyến nghị người dùng không lưu seed phrase trên điện thoại và nên cập nhật iOS thường xuyên để giảm nguy cơ bị khai thác.
Bộ công cụ Coruna sử dụng 23 lỗ hổng bảo mật trong 5 chuỗi khai thác khác nhau, trong đó một số lỗ hổng trước đó chưa được công bố rộng rãi, theo phân tích của The Hacker News.
GTIG thu thập hàng trăm mẫu trên cả 5 chuỗi khai thác kể từ lần phát hiện đầu tiên vào tháng 2/2025. Ban đầu, tin tặc sử dụng Coruna cho mục đích gián điệp. Sau đó, họ chuyển hướng sang đánh cắp tài sản tiền điện tử thông qua các trang web giả mạo.
Mục tiêu tấn công và phương thức hoạt động
Coruna nhắm vào nhiều ứng dụng ví tiền điện tử phổ biến như MetaMask, Phantom, Trust Wallet, Uniswap và Exodus, đồng thời tìm kiếm seed phrase BIP39 trong các ứng dụng như Messages hoặc Notes nếu người dùng lưu trữ dữ liệu khôi phục trên thiết bị. ̣(bleepingcomputer)
Sự chuyển mình từ gián điệp nhà nước sang tội phạm tài chính
Theo phân tích của Google Threat Intelligence Group, Coruna đã được sử dụng bởi nhiều tác nhân đe dọa khác nhau trong năm 2025. Ban đầu công cụ này xuất hiện trong các chiến dịch có dấu hiệu giám sát mục tiêu cụ thể, nhưng sau đó được tái sử dụng trong các hoạt động lừa đảo và đánh cắp tài sản tiền điện tử.
Các nhà nghiên cứu cho rằng sự chuyển dịch này phản ánh xu hướng các công cụ khai thác cấp độ gián điệp bị tái sử dụng trong tội phạm tài chính khi chúng bị rò rỉ hoặc bán trên thị trường khai thác.
Kỹ thuật tấn công và tái chế lỗ hổng
UNC6353 thực hiện tấn công watering hole trên các trang thương mại điện tử Ukraine, trong khi UNC6691 triển khai sàn WEEX giả mạo thông qua phương thức iFrame. Hai exploit Photon và Gallium được tái chế từ Operation Triangulation năm 2023 mà Kaspersky phát hiện, với 23% chuỗi tấn công khai thác tính năng phần cứng chưa được ghi chép thay vì CVE chuẩn. iVerify lưu ý sự chuyển dịch từ spyware cấp nhà nước sang tội phạm tương tự các framework liên kết Mỹ. Thị trường zero-day cũ đã tạo điều kiện cho sự lan rộng này, biến Coruna từ công cụ nhắm mục tiêu với dưới 1% phơi nhiễm rộng thành chiến dịch lừa đảo hàng loạt.
Coruna tấn công 18 ứng dụng tiền điện tử phổ biến bằng cách quét chuỗi seed phrase BIP39 từ Messages, Notes và Memos trên iPhone. Malware này giải mã cả mã QR chứa backup phrase, đạt tỷ lệ thành công gần 100% khi phát hiện từ khóa khớp hoàn toàn so với 10-20% của phishing truyền thống theo BeInCrypto (2026).
MetaMask, Uniswap, Phantom, Trust Wallet, Exodus và BitKeep nằm trong danh sách mục tiêu chính của Coruna. PlasmaLoader stager được tiêm vào hệ thống thông qua các trang web giả mạo yêu cầu người dùng truy cập bằng iOS. Root daemon sau đó triển khai module từ xa từ máy chủ C2, sử dụng DGA fallback với seed “lazarus” tạo tên miền .xyz khi kết nối chính bị gián đoạn.
Hệ thống quét tự động tìm kiếm từ khóa liên quan đến tài khoản ngân hàng và backup phrase, mã hóa dữ liệu bằng AES trước khi gửi đến command-and-control server. eSecurity Planet ước tính hàng nghìn iPhone đã bị xâm nhập, nhưng Lockdown Mode hoặc chế độ duyệt web riêng tư giảm tỷ lệ kích hoạt xuống 0%. Remote code execution diễn ra im lặng thông qua JavaScript fingerprinting mà không cần mật khẩu người dùng.
Các chuyên gia bảo mật khuyến nghị người dùng không lưu seed phrase dưới dạng văn bản trên điện thoại, đặc biệt trong các ứng dụng ghi chú hoặc tin nhắn. Thay vào đó, nên lưu trữ seed phrase ngoại tuyến (offline) hoặc sử dụng ví phần cứng.
Ngoài ra, việc cập nhật iOS thường xuyên là yếu tố quan trọng để tránh các exploit kit như Coruna, vì nhiều chuỗi khai thác phụ thuộc vào các lỗ hổng đã được vá trong các phiên bản hệ điều hành mới. Các bản cập nhật iOS gần đây đã vá các lỗ hổng quan trọng mà Coruna khai thác. Apple khuyến nghị người dùng cập nhật thiết bị lên phiên bản iOS mới nhất để giảm thiểu rủi ro.
“Cách phòng ngừa đơn giản hơn hầu hết mọi người nghĩ: hãy viết cụm từ khôi phục của bạn ra giấy (hoặc khắc lên kim loại), không bao giờ nhập nó trên bất kỳ thiết bị nào có kết nối internet, và thử khôi phục một lần với một lượng nhỏ để xác nhận nó hoạt động.”
Apple phát hành bản vá CVE-2024-23222 WebKit RCE vào ngày 22 tháng 1 năm 2024, đóng lỗ hổng nghiêm trọng cho phép thực thi mã từ xa. Coruna sử dụng 5 chuỗi khai thác khác nhau bao gồm Rocket CVE-2024-23296 nhắm vào iOS 17.1-17.4. Người dùng iOS 17.2.1 cần cập nhật ngay lập tức vì các phiên bản này vẫn còn dễ bị tấn công. Các phiên bản iOS mới nhất không ghi nhận trường hợp thành công nào của Coruna.
Góc nhìn của biên tập viên
Từ kinh nghiệm cá nhân, nhà đầu tư không lưu seed phrase dưới dạng văn bản trên điện thoại và luôn cập nhật bản vá mới nhất của IOS.
Coruna đã chuyển tay giữa 3 nhóm tấn công khác nhau trong vòng 10 tháng năm 2025, đạt tỷ lệ luân chuyển 100% giữa các tác nhân đe dọa. Thị trường zero-day tái sử dụng này trực tiếp thúc đẩy các vụ lừa đảo tiền mã hóa quy mô lớn.
Chuỗi chuyển giao từ giám sát đến tội phạm
Bộ công cụ bao gồm 23 lỗ hổng với 18 điểm yếu chưa từng được ghi nhận trước đó. Coruna khởi đầu từ một nhà cung cấp giám sát thương mại, sau đó chuyển sang nhóm UNC6353 của Nga, cuối cùng đến tay UNC6291 Trung Quốc kể từ tháng 2/2025. Phiên bản debug vô tình để lộ tên mã CryptoWaters cùng các định danh khác.
Chi phí phát triển ước tính hàng triệu USD phản ánh đặc tính công cụ cấp nhà nước. Không có bằng chứng tái sử dụng mã nguồn từ các hệ thống cũ, nhưng tranh luận về nguồn gốc từ công cụ giám sát chính phủ vẫn tiếp diễn.
Dựa trên những phân tích kỹ thuật về bộ công cụ Coruna, Nguyễn Linh khẩn thiết đề nghị độc giả kiểm tra ngay phiên bản iOS và thực hiện cập nhật bản vá mới nhất từ Apple. Từ kinh nghiệm thực chiến trong việc bảo vệ tài sản số, tôi khẳng định việc lưu trữ seed phrase trong Ghi chú hay Tin nhắn là kẽ hở lớn nhất để hacker chiếm quyền kiểm soát ví. Bài viết này nhằm mục đích giáo dục và nâng cao cảnh giác, không cổ xúy cho bất kỳ hành vi xâm nhập trái phép nào.
Câu hỏi thường gặp (FAQ)
Coruna là bộ exploit iOS được Google Threat Intelligence Group phát hiện, sử dụng 5 chuỗi khai thác với tổng cộng 23 lỗ hổng bảo mật để tấn công các thiết bị iPhone chưa được cập nhật.
Các nhà nghiên cứu cho biết Coruna nhắm vào nhiều ví tiền điện tử phổ biến như MetaMask, Phantom, Trust Wallet, Uniswap và Exodus nếu người dùng lưu seed phrase trên thiết bị.
Người dùng nên cập nhật iOS lên phiên bản mới nhất, tránh lưu seed phrase trong tin nhắn hoặc ứng dụng ghi chú và cân nhắc sử dụng ví phần cứng để lưu trữ khóa riêng.
Exploit kit này khai thác các lỗ hổng trong iOS để truy cập dữ liệu thiết bị, sau đó tìm kiếm các chuỗi từ khóa liên quan đến seed phrase hoặc thông tin ví tiền điện tử.
Các thiết bị iPhone chạy iOS từ 13 đến 17.2.1 chưa được cập nhật bản vá có nguy cơ bị khai thác cao hơn.
Linh sinh ra tại TP.HCM, hiện sống và làm việc tại Tokyo. Tốt nghiệp ngành Hệ thống thông tin quản lý và Tài chính tại Đại học Kinh tế TP.HCM, Linh bắt đầu đầu tư tiền mã hóa từ năm 2017. Với nhiều năm kinh nghiệm hỗ trợ cộng đồng crypto trong và ngoài nước, hiện Linh phụ trách nội dung tại nihoncasi.com – chia sẻ kiến thức theo hướng thực tế, dễ hiểu và trung lập.
Học vấn: ĐH Kinh tế TP.HCM – Hệ thống Thông tin Quản lý Kinh nghiệm: Fintech startup (VN) → FinTech Tokyo (nghiên cứu & phân tích) Cộng đồng:Telegram nihoncasi
nihoncasi.com sử dụng cookie nhằm nâng cao sự tiện lợi cho khách hàng cũng như duy trì và cải thiện chất lượng dịch vụ. Khi tiếp tục sử dụng website này, bạn đồng ý với việc sử dụng cookie theo Chính sách Cookie của chúng tôi.
