تحذيرات من أداة اختراق جديدة تستهدف آيفون وتعيد إلى الواجهة شبح “عملية التثليث”

كشفت تقارير أمنية حديثة عن عودة إطار اختراق متطور يستهدف هواتف آيفون، بعدما رصد باحثون من “غوغل” و”iVerify” في مطلع مارس 2026 حزمة هجومية تحمل اسم “Coruna”، قادرة على استهداف أجهزة تعمل بإصدارات iOS من 13 إلى 17.2.1، عبر خمس سلاسل اختراق كاملة و23 ثغرة، في تطور وصفه خبراء بأنه من أخطر ما ظهر في مشهد التجسس على هواتف آيفون خلال السنوات الأخيرة.

وتعيد هذه الأداة إلى الواجهة “عملية التثليث” التي كشفت عنها “كاسبرسكي” عام 2023، بعدما لاحظ مهندسوها آنذاك حركة بيانات مريبة صادرة من هواتف آيفون داخل شبكة الشركة، ليتبين لاحقاً وجود حملة تجسس متقدمة استغلت ثغرات غير معروفة عبر iMessage وسيطرت على الأجهزة بصلاحيات واسعة. وقد أكدت “كاسبرسكي” هذا الأسبوع أن “Coruna” ليست أداة منفصلة، بل تمثل امتداداً مطوراً للإطار البرمجي نفسه الذي استُخدم في “عملية التثليث”.

وفي هذا السياق، أوضحت “غوغل” أن “Coruna” تعمل عبر مواقع إلكترونية خبيثة، حيث تبدأ بفحص دقيق لنوع الجهاز وإصدار النظام، ثم تختار سلسلة الاختراق الأنسب، قبل الانتقال تدريجياً من متصفح “سفاري” إلى نواة النظام. كما أشارت إلى أن الأداة تتوقف إذا كان الجهاز في “Lockdown Mode” أو إذا كان المستخدم في التصفح الخاص، ما يعكس مستوى هندسياً متقدماً في تصميمها.

كما بيّنت التحقيقات أن هذه الحزمة لم تُستخدم في سياق واحد، بل ظهرت في ثلاث بيئات مختلفة خلال 2025: أولاً لدى عميل لشركة مراقبة تجارية، ثم في هجمات “watering hole” استهدفت مستخدمين أوكرانيين ونُسبت إلى مجموعة يشتبه في ارتباطها بروسيا، ولاحقاً في حملات واسعة مرتبطة بمواقع مالية وعملات رقمية مزيفة تستهدف مستخدمين صينيين بدافع السرقة والاحتيال. وهذا التعدد في الاستخدامات يعزز المخاوف من انتقال أدوات كانت شديدة التخصص إلى جهات أكثر عدداً وأقل انضباطاً.

واللافت أن “كاسبرسكي” خلصت إلى أن إحدى سلاسل الاختراق الخمس في “Coruna” تُعد نسخة محدثة من الاستغلال ذاته الذي استُخدم سابقاً في “عملية التثليث”، بينما بُنيت السلاسل الأربع الأخرى على الإطار نفسه، بما في ذلك دعم لمعالجات “A17” و”M3” الأحدث، وهو ما يشير إلى أن مطوري هذا الكود واصلوا العمل عليه حتى بعد انكشاف الحملة الأصلية.