Công cụ hack iOS Coruna săn lùng seed phrase ví tiền mã hóa, nghi rò rỉ từ kho vũ khí mạng cấp nhà nước

Theo WIRED đưa tin ngày 5 (giờ địa phương), nhóm Google Threat Intelligence Group (GTIG) vừa phát hiện một bộ công cụ tấn công iOS mới nhắm trực tiếp vào người dùng Apple iPhone, với mục tiêu đánh cắp *“từ” s​eed phrase (cụm từ khôi phục ví tiền mã hóa) “từ”* và chiếm đoạt tài sản số của nạn nhân. Vụ việc làm dấy lên lo ngại về làn sóng tấn công nhắm vào ví tự lưu ký và bảo mật *“từ” tiền mã hóa “từ”* trên thiết bị di động.

Theo GTIG, bộ công cụ này được giới phát triển gọi là *“코루나(Coruna)”*, nhắm vào các mẫu iPhone chạy iOS từ phiên bản 13.0 đến 17.2.1, tức chủ yếu là những thiết bị chưa cập nhật lên bản hệ điều hành mới nhất. Trong báo cáo công bố ngày 5 (giờ địa phương), GTIG cho biết Coruna bao gồm “5 chuỗi khai thác iOS hoàn chỉnh” với tổng cộng 23 lỗ hổng, trong đó có nhiều lỗ hổng chưa từng được công khai, được nhận định là dạng zero-day.

GTIG cho hay họ lần đầu phát hiện Coruna vào tháng 2 năm 2025, sau đó lần theo dấu vết cho thấy một nhóm tình báo nghi có nguồn gốc từ Nga đã sử dụng bộ công cụ này để nhắm vào người dùng tại Ukraine. Tiếp đó, cùng một bộ công cụ lại được phát hiện trên các “trang web giả mạo có vẻ là của Trung Quốc”, được dựng lên với mục tiêu đánh cắp *“từ” s​eed phrase “từ”* và thông tin tài chính từ người dùng tiền mã hóa.

Google khẳng định Coruna không hoạt động được trên phiên bản iOS mới nhất hiện nay, đồng thời khuyến nghị người dùng iPhone cần sớm cập nhật hệ điều hành lên bản mới. Với những trường hợp khó nâng cấp, Google gợi ý kích hoạt chế độ *Lockdown Mode* – tính năng mà Apple giới thiệu như một lớp phòng vệ tăng cường trước các cuộc tấn công có chủ đích ở cấp độ cao.

“bình luận” Việc một bộ khai thác iOS phức tạp được dùng để đánh cắp *“từ” s​eed phrase “từ”* cho thấy bảo mật ví không chỉ nằm ở ứng dụng hay sàn giao dịch, mà phụ thuộc trực tiếp vào mức độ an toàn của hệ điều hành trên thiết bị người dùng.

Theo GTIG, chuỗi tấn công thường bắt đầu từ việc nạn nhân truy cập vào các trang web đã bị cài mã độc. Tháng 2 năm 2025, một khách hàng của một công ty giám sát (surveillance) được GTIG phân tích đã sử dụng JavaScript để *“lấy dấu vân tay”* (device fingerprinting) thiết bị của người dùng, sau đó gửi tới thiết bị đó bộ công cụ khai thác phù hợp với môi trường iOS đang chạy.

Cụ thể, đoạn mã JavaScript này thu thập thông tin về model thiết bị, trình duyệt, phiên bản hệ điều hành… nhằm tối ưu hóa tỷ lệ tấn công thành công. Mô hình này cho phép kẻ tấn công phân loại mục tiêu trước khi tung ra chuỗi khai thác, thay vì phát tán ồ ạt.

GTIG cho biết đến nửa cuối năm 2025, cùng bộ khung JavaScript nói trên đã được tìm thấy trên nhiều trang web đặt máy chủ tại Ukraine bị xâm nhập. Đáng chú ý, mã này được thiết kế chỉ kích hoạt với “một tập hợp người dùng iPhone được chọn lọc theo vị trí địa lý (geolocation)”, thay vì gây nhiễm diện rộng.

“bình luận” Đây là chiến thuật điển hình của các chiến dịch tấn công có chủ đích (APT): thu hẹp diện mục tiêu để giảm nguy cơ bị hệ thống phòng vệ và các hãng bảo mật phát hiện sớm.

Đến tháng 12 năm 2025, cùng khung JavaScript lại xuất hiện trên “một tập hợp lớn các trang web giả mạo Trung Quốc”, chủ yếu mang chủ đề tài chính và đầu tư. Một số trang được thiết kế để giả mạo sàn giao dịch tiền mã hóa WEEX, đánh lừa người dùng đang tìm kiếm nền tảng giao dịch hoặc chương trình ưu đãi mới.

Khi người dùng iOS truy cập các trang này, khung JavaScript sẽ kiểm tra thiết bị, sau đó tải về bộ công cụ Coruna tương ứng với phiên bản iOS mục tiêu và bắt đầu quét tìm thông tin tài chính. GTIG cho biết mã độc tập trung phân tích nội dung văn bản trên thiết bị để truy tìm *“từ” s​eed phrase “từ”*, đồng thời lục soát theo các từ khóa như *“backup phrase”*, *“bank account”* hoặc các cụm liên quan đến tài khoản ngân hàng, mật khẩu, ví tiền mã hóa.

Bộ công cụ cũng được thiết kế để dò tìm các ứng dụng tiền mã hóa phổ biến như Uniswap và MetaMask, từ đó cố gắng trích xuất dữ liệu nhạy cảm hoặc chiếm quyền truy cập vào tài khoản của nạn nhân.

“bình luận” Việc mã độc chủ động săn tìm *“từ” s​eed phrase “từ”* và các từ khóa tài chính nhấn mạnh rủi ro khi người dùng lưu cụm từ khôi phục trong ghi chú, email, ảnh chụp màn hình hoặc các ứng dụng không được mã hóa mạnh. Đây là một trong những thói quen bảo mật tệ hại nhưng vẫn rất phổ biến trong cộng đồng *“từ” tiền mã hóa “từ”*.

Nguồn gốc của Coruna đang là chủ đề gây tranh cãi trong giới an ninh mạng. GTIG không nêu đích danh khách hàng nào của công ty giám sát đã sử dụng bộ công cụ này, cũng không chỉ rõ quốc gia đứng sau.

Tuy vậy, theo WIRED ngày 5 (giờ địa phương), công ty bảo mật di động iVerify đưa ra giả thuyết rằng Coruna có thể do chính phủ Mỹ xây dựng hoặc mua lại. Đồng sáng lập iVerify, ông Rocky Cole, nhận định đây là một công cụ “rất tinh vi, chi phí phát triển có thể lên tới hàng triệu USD (tương đương hàng trăm tỷ đồng)” và mang nhiều đặc điểm tương đồng với các mô-đun tấn công từng được quy kết là do phía Mỹ phát triển.

Ông Cole nhấn mạnh: “Dựa trên những gì mã nguồn thể hiện, đây có vẻ là lần đầu tiên một công cụ tấn công ‘của chính phủ Mỹ’ thoát khỏi vòng kiểm soát và bị cả các lực lượng thù địch lẫn những nhóm tội phạm mạng lợi dụng rộng rãi”.

Ở chiều ngược lại, hãng bảo mật Kaspersky tỏ ra thận trọng hơn. Một chuyên gia nghiên cứu an ninh cấp cao của Kaspersky nói với The Register ngày 5 (giờ địa phương) rằng, với những thông tin được công bố hiện nay, họ “chưa thấy đủ bằng chứng về việc tái sử dụng mã nguồn” để có thể khẳng định Coruna xuất phát từ cùng một tác giả với các công cụ từng được công khai là của Mỹ.

“bình luận” Tranh cãi quanh việc Coruna có phải là công cụ do một chính phủ phát triển hay không cho thấy ranh giới mờ giữa vũ khí mạng “chính thống” và công cụ tội phạm. Khi các bộ khai thác cấp độ nhà nước rơi vào tay tội phạm mạng, rủi ro cho người dùng, đặc biệt là người nắm giữ *“từ” tiền mã hóa “từ”*, có thể tăng vọt chỉ trong thời gian ngắn.

Sự kết hợp giữa bộ khai thác iOS phức tạp và chiến thuật săn tìm *“từ” s​eed phrase “từ”* khiến vụ việc Coruna trở thành lời cảnh tỉnh rõ ràng cho cộng đồng tiền mã hóa. Việc chậm trễ cập nhật hệ điều hành trên smartphone giờ đây không chỉ là rủi ro bảo mật chung, mà có thể dẫn đến mất trắng tài sản số.

Theo các chuyên gia an ninh mạng, bảo vệ ví *“từ” tiền mã hóa “từ”* hiện nay không thể chỉ dừng ở lớp bảo mật của sàn giao dịch hay ứng dụng ví. Người dùng cần:

- Thường xuyên cập nhật iOS lên phiên bản mới nhất để vá các lỗ hổng mà những bộ công cụ như Coruna có thể khai thác.

- Cân nhắc kích hoạt Lockdown Mode nếu có nguy cơ trở thành mục tiêu tấn công, đặc biệt với những người nắm giữ lượng tài sản số lớn hoặc hoạt động trong các lĩnh vực nhạy cảm.

- Tuyệt đối không lưu *“từ” s​eed phrase “từ”* trong ghi chú, email, ảnh chụp màn hình hay bất kỳ dịch vụ trực tuyến nào; nên ghi ra giấy, lưu trữ ngoại tuyến ở nơi an toàn.

- Cảnh giác với các “trang web tài chính” hoặc “sàn giao dịch” ít tên tuổi, đặc biệt là những trang tự xưng là nền tảng Trung Quốc, có giao diện sao chép từ các sàn lớn hoặc quảng cáo lợi nhuận bất thường.

“bình luận” Trong bối cảnh tội phạm mạng ngày càng tập trung vào việc đánh cắp *“từ” s​eed phrase “từ”* và quyền truy cập ví, cập nhật hệ điều hành, sử dụng các chế độ bảo mật nâng cao và thay đổi thói quen lưu trữ thông tin khôi phục đang trở thành điều kiện tiên quyết để bảo vệ tài sản trên thị trường *“từ” tiền mã hóa “từ”*.