خلفية عن Coruna
\n
قُبضت تقارير أمنية حديثة على عودة إطار اختراق متطور يستهدف هواتف iPhone، حيث رصد باحثون من غوغل وiVerify في أوائل مارس/آذار 2026 حزمة هجومية تعرف باسم Coruna. تستهدف Coruna أجهزة تعمل بإصدارات iOS من 13 إلى 17.2.1، وتستخدم خمس سلاسل اختراق كاملة و23 ثغرة أمنية، وهو ما يجعلها ضمن أبرز التطورات في مشهد التجسس على هواتف آيفون خلال السنوات الأخيرة. وتشير التغطيات إلى أن Coruna ليس أداة مستقلة، بل امتداداً مطوراً للإطار البرمجي نفسه الذي استُخدم في عملية التثليث التي كشفتها كاسبرسكي في عام 2023.
\n
آلية العمل والسياق الفني
\n
وتوضح المصادر أن الحزمة تبدأ بفحص دقيق لنوع الجهاز وإصدار النظام، ثم تختار سلسلة الاختراق الأنسب، قبل الانتقال تدريجياً من متصفح سفاري إلى نواة النظام. كما أشارت التحقيقات إلى أن الأداة تتوقف إذا كان الجهاز في وضع Lockdown أو إذا كان المستخدم يستخدم التصفح الخاص، ما يعكس مستوى هندسي متقدم في تصميمها. بحسب غوغل وكاسبرسكي، Coruna تعمل عبر مواقع إلكترونية خبيثة وتبدأ باختبار الجهاز ونظامه ثم تختار المسار الأنسب من سلاسل الاختراق.
\n
السياق الزمني والتأثير
\n
ظهر Coruna في ثلاث بيئات مختلفة خلال عام 2025: لدى عميل لشركة مراقبة تجارية، ثم في هجمات watering hole استهدفت مستخدمين أوكرانيين ونسبت إلى مجموعة يشتبه في ارتباطها بروسيا، ولاحقاً في حملات واسعة مرتبطة بمواقع مالية وعملات رقمية مزيفة تستهدف مستخديم صينيين بهدف السرقة والاحتيال. وتبين أن إحدى السلاسل الخمس في Coruna تعد نسخة محدثة من الاستغلال ذاته الذي استُخدم في عملية التثليث، بينما بنيت السلاسل الأربع الأخرى على الإطار نفسه، مع دعم لمعالجات A17 وM3 الأحدث، ما يوحي باستمرار التطوير على الشيفرة حتى بعد الكشف عن الحملة الأصلية.
\n
تصريحات كاسبرسكي وغوغل
\n
قالت كاسبرسكي إن Coruna ليست أداة منفصلة، بل امتداداً مطوراً للإطار البرمجي نفسه الذي استُخدم في عملية التثليث. وبانفتاح من غوغل، أضافت الشركات أن Coruna تعمل عبر مواقع إلكترونية خبيثة وتبدأ باختبار الجهاز ونظامه ثم تختار سلسلة الاختراق، وأنها تتوقف في حال وضع Lockdown Mode أو أثناء التصفح الخاص.
