Google mencatat bahwa Apple telah menambal kerentanan yang digunakan Coruna dalam versi terbaru sistem operasi mobilenya, iOS 26, sehingga teknik eksploitasinya hanya dikonfirmasi bekerja pada iOS 13 hingga 17.2.1. Targetnya adalah kerentanan dalam kerangka kerja Webkit milik Apple untuk peramban, sehingga pengguna Safari pada versi iOS yang lebih lama tersebut akan rentan, namun tidak ada teknik yang dikonfirmasi dalam perangkat toolkit tersebut untuk menargetkan pengguna Chrome. Google juga menyebutkan bahwa Coruna memeriksa apakah perangkat iOS memiliki pengaturan keamanan paling ketat Apple, yang dikenal sebagai Lockdown Mode, yang diaktifkan, dan tidak mencoba meretasnya jika demikian.
Terlepas dari keterbatasan itu, iVerify menyatakan Coruna kemungkinan telah menginfeksi puluhan ribu ponsel. Perusahaan itu berkonsultasi dengan mitra yang memiliki akses ke lalu lintas jaringan dan menghitung kunjungan ke server komando-dan-kendali untuk versi kriminal siber Coruna yang menginfeksi situs web berbahasa Mandarin. Volume koneksi tersebut menunjukkan, menurut iVerify, bahwa sekitar 42.000 perangkat mungkin telah diretas dengan toolkit tersebut dalam kampanye berorientasi keuntungan saja.
Berapa banyak korban lain yang mungkin diserang Coruna, termasuk warga Ukraina yang mengunjungi situs web yang terinfeksi kode oleh operasi spionase yang diduga Rusia, masih belum jelas. Google menolak berkomentar melampaui laporan yang telah diterbitkannya. Apple tidak segera memberikan tanggapan atas temuan Google atau iVerify.
Dalam analisis iVerify terhadap versi kriminal siber Coruna—mereka tidak memiliki akses ke versi-versi sebelumnya—perusahaan menemukan bahwa kode tersebut tampaknya telah diubah untuk menanam malware pada perangkat target yang dirancang untuk menguras mata uang kripto dari dompet digital serta mencuri foto dan, dalam beberapa kasus, surel. Namun, tambahan-tambahan itu “dibuat dengan buruk” dibandingkan dengan toolkit Coruna dasarnya, menurut kepala petugas produk iVerify Spencer Parker, yang ia temukan sangat terpolish dan modular.
“Ya ampun, hal-hal ini ditulis dengan sangat profesional,” kata Parker mengenai eksploit yang termasuk dalam Coruna, mengisyaratkan bahwa malware yang lebih kasar itu ditambahkan oleh pelaku kriminal siber yang kemudian memperoleh kode tersebut.
Mengenai petunjuk yang mengisyaratkan asal-usul Coruna sebagai toolkit pemerintah AS, Cole dari iVerify mencatat bahwa kemungkinan tumpang tindih kode Coruna dengan kode Operasi Triangulation yang disematkan Rusia pada peretas AS bisa didasarkan pada komponen Triangulation yang diambil dan digunakan ulang setelah ditemukan. Namun Cole berargumen bahwa itu tidak mungkin. Banyak komponen Coruna belum pernah terlihat sebelumnya, katanya, dan seluruh toolkit itu tampaknya diciptakan oleh “penulis tunggal”, menurut ungkapannya.
“Kerangka kerjanya sangat kompak,” ujar Cole, yang sebelumnya bekerja di NSA, namun menekankan bahwa ia telah keluar dari pemerintah selama lebih dari satu dekade dan tidak mendasarkan temuan apa pun pada pengetahuannya sendiri yang sudah kedaluwarsa tentang alat peretasan AS. “Ini terlihat seperti ditulis sebagai satu kesatuan. Tidak terlihat seperti hasil rangkaian potongan.”
Jika Coruna benar-benar adalah toolkit peretasan AS yang lepas kendali, bagaimana persisnya alat itu jatuh ke tangan asing dan kriminal tetap menjadi misteri. Namun Cole menunjuk pada industri broker yang mungkin membayar puluhan juta dolar untuk teknik peretasan zero-day yang dapat mereka jual kembali untuk spionase, kejahatan siber, atau perang siber. Patut dicatat, Peter Williams, seorang eksekutif kontraktor pemerintah AS Trenchant, dihukum bulan ini dengan tujuh tahun penjara karena menjual alat peretasan kepada broker zero-day Rusia Operation Zero dari 2022 hingga 2025. Catatan hukuman Williams menyebutkan bahwa Trenchant menjual alat peretasan kepada komunitas intelijen AS serta pihak lain dalam kelompok “Five Eyes”—AS, Inggris, Australia, Kanada, dan Selandia Baru—meski tidak jelas alat spesifik apa yang ia jual atau perangkat apa yang menjadi targetnya.
“Broker zero-day dan eksploit ini cenderung tidak berprinsip,” kata Cole. “Mereka menjual kepada penawar tertinggi dan mereka mendua. Banyak yang tidak memiliki pengaturan eksklusivitas. Sangat mungkin itulah yang terjadi di sini.”
“Salah satu alat ini berakhir di tangan broker eksploit non-Barat, dan mereka menjualnya kepada siapa pun yang bersedia membayar,” simpul Cole. “Jinnya sudah keluar dari botol.”