Hackeři získali špionážní nástroje vlád a teď s nimi útočí na iPhony běžných lidí. Stačí otevřít webovou stránku

Dva exploit kity původně vyvinuté pro státní špionáž se dostaly ke kriminálním skupinám. Cílí na iPhone přes web – bez jediného kliknutí navíc.

Zdroj fotografie: FreeRangeStock

V březnu 2026 zveřejnila analýzy Google Threat Intelligence Group dvou dosud neznámých útočných frameworků pro iOS: Coruna a DarkSword. Oba fungují jako webové exploit kity, stačí, aby oběť načetla kompromitovanou nebo podvodnou stránku, a řetězec zranitelnosti se postaráme o zbytek. Žádná instalace, žádné potvrzovací okno, žádný viditelný soubor. Průnik začíná v renderovacím enginu WebKit a pokračuje přes eskalaci oprávnění až do jádra systému. Bezpečnostní firma iVerify označila Corunu za první známou masovou útočnou kampaň proti iOS vedenou kriminálními skupinami s pravděpodobně vyvinutými nástroji pro státního aktéra. A právě ten posun, od chirurgického nasazení proti jednotlivcům k plošnému lovu přes web, dělá z obou kitů něco, co by měl registrovat každý majitel iPhone, který odkládá aktualizace.

Od vládních laboratoří na černém trhu

Přesný původ obou souprav zůstává předmětem kvalifikovaných hypotéz, bez uzavřené atribuce. Kaspersky u Coruny prokázal technickou návaznost na framework Operation Triangulation, profesionální sofistikovaný špionážní nástroj odhalený v roce 2023. iVerify i NÚKIB ve svém čtvrtletním přehledu hrozeb uvádějí, že část kódu mohla vzniknout v prostředí připojených na vývoj vládu USA a její partneři z aliance Five Eyes, komentáře a dokumentace v prostředí kódu jsou apsány. U DarkSwordu je veřejná atribuce ještě slabší; Kaspersky mluví obecně o „státem afiliovaných firem“.

Jak se nástroje dostaly dál? Google u Coruny přiznává, že mechanismus proliferace není jasný, a tedy existuje existence aktivního trhu s nástroji z druhé ruky. Jako veřejně doložený precedent slouží kauza Petera Williamse: bývalý manažer amerického obranného kontraktora podle ministerstva spravedlnosti USA ukradl osm exploit komponent a prodal je ruskému brokerovi Operation Zero. Přímé propojení této kauzy s Corunou nebo DarkSwordem ale veřejně doložené není. Jisté je jedno: kity se rozšířily.

Kdo útočí a na koho

Google u Coruny zdokumentoval tři fáze nasazení, které ilustrují cestu od špionáže k masovému podvodu:

• Fáze 1 – zákazník blíže nepojmenovaného dozoru vendora, klasické cílené nasazení.
• Fáze 2 – ruská špionážní skupina UNC6353, watering-hole útoky na ukrajinské weby.
• Fáze 3 – čínsky operující finančně motivovaná skupina UNC6691, široké na kryptoměnových a finančních webech bez omezení geolokací.

U DarkSwordu je obraz podobný. Kit používala skupina UNC6748, zákazníci tureckého dohledového prodejce PARS Defense a opět UNC6353. Google přitom požadoval, že různí uživatelé kitu upravovali doručovací logiku, lákající weby, cílové regiony, sociální inženýrství, zatímco jádro exploitu zůstávalo společné. Nejde tedy o únik znovu jednorázového exploitu, ale o použitelnou zbraň s návodem.

iVerify u DarkSwordu odhaduje, že potenciálně zasažitelných bylo až 270 milionů zařízení s iOS 18.4 až 18.6.2. To už není chirurgický zásah proti disidentovi nebo novináři. To je plošný lov.

Jak útok probíhá, a proč ho nevidíte

Celý řetězec začíná načítáním webových stránek. Skrytý iframe nebo skript nejprve provede fingerprinting zařízení: model iPhone, verze iOS, další parametry. Na základě výsledku vybere správný exploit. Coruna jich má 23 rozprostřených přes pět řetězců pro různé verze iOS od 13.0 do 17.2.1, DarkSword pracuje se šesti zranitelnostmi ve dvou řetězcích napsaných celých v JavaScriptu.

Pak přijde průnik: WebKit RCE exploit, obejití ochrany PAC, únik ze sandboxu, eskalace oprávnění. Implant se zavede do běžících systémových procesů. Tradiční mobilní bezpečnostní nástroje mají podle iVerify velmi slabou viditelnost, protože exploitace probíhá uvnitř legitimních procesů. Coruna navíc kontroluje, zda zařízení neběží v Lockdown Mode nebo v privátním prohlížení, a pokud ano, z útoku odstupuje. Paradoxně tak útočníkova opatrnost prozrazuje, co funguje jako obrana.

Co to znamená pro českého uživatele

NÚKIB zařadil Corunu do přehledu hrozeb relevantních pro Českou republiku, ale v sekci bez bezprostředního dopadu na bezpečnost ČR. Veřejně potvrzené české oběti neexistují. Technicky ale platí, že každý neaktualizovaný iPhone vystavený škodlivému webu je zranitelný bez ohledu na to, zda se jeho majitel nachází v Kyjevě, Istanbulu nebo Brně.

Důležité je rozlišení: ohrožený není automaticky každý majitel iPhone. Ohrožený je majitel neaktualizovaného iPhone, který navštíví kompromitovanou stránku.

Jak se bránit, konkrétně

Apple vydal dedikovanou stránku s doporučeními právě pro tento typ webových útoků. Klíčové kroky:

• Aktualizovat na nejnovější verzi iOS. Ideálně iOS 26, který má podle Applu nejsilnější ochrany. Na větvi 18 je minimální verze 18.7.7, na starších větvích Apple backportoval záplaty do iOS 16.7.15 a iOS 15.8.7.
• Zapnout režim uzamčení. Apple uvádí, že zařízení s aktivním Lockdown Mode byla proti těmto konkrétním útokům chráněna i na zastaralý útok. Coruna sama útok přeruší, pokud Lockdown Mode detekuje.
• Nechat zapnutý Safari Safe Browsing. Apple potvrzuje, že Safari už blokuje škodlivé domény identifikované v těchto kampaních.
• Restartovat telefon. Kaspersky u Operation Triangulation ukázal, že restart smaže rezidentní spyware z paměti. Není to náhrada aktualizace, bez záplaty může přijít reinfekce, ale jako nouzový hygienický krok pro starší zařízení má smysl.

Pokud váš iPhone nedostává ani iOS 15.8.7 a Lockdown Mode na něm není k dispozici, žádná softwarová rada situaci nevyřeší. V takovém případě je nejpoctivější doporučení výměna zařízení.

Největší posun není v tom, že iPhone lze napadnout, to ukázal už Pegase. Posun je v tom, že z drahého státního know-how se stal škálovatelný webový produkt, který si může projmout nebo koupit kdokoli s dostatečným rozpočtem a motivem. A motivace nemusí být státní bezpečnost. Stačí kryptoměnový podvod.