Default
Door Remote - 26 Mar 2026
Beveiligingsonderzoekers hebben een reeks cyberaanvallen ontdekt die gericht zijn op Apple-klanten over de hele wereld. De tools die in deze hackcampagnes worden gebruikt, worden Coruna en DarkSword genoemd en worden door zowel overheidsspionnen als cybercriminelen gebruikt om gegevens van iPhones en iPads van mensen te stelen.
Het komt zelden voor dat wijdverspreide hacks zich richten op iPhone- en iPad-gebruikers. De afgelopen tien jaar zijn de enige precedenten aanvallen tegen Oeigoerse moslims in China en tegen mensen in Hong Kong geweest.
Nu zijn enkele van deze krachtige hacktools online gelekt, waardoor mogelijk honderden miljoenen iPhones en iPads met verouderde software het risico lopen op gegevensdiefstal.
We zetten uiteen wat we wel en niet weten over deze nieuwste iPhone- en iPad-hackbedreigingen, en wat u kunt doen om beschermd te blijven.
Wat zijn Coruna en DarkSword?
Coruna en DarkSword zijn twee sets geavanceerde hacktoolkits die elk een reeks exploits bevatten die in staat zijn in te breken op iPhones en iPads en iemands gegevens te stelen, zoals berichten, browsergegevens, locatiegeschiedenis en cryptocurrency.
Beveiligingsonderzoekers die de toolkits ontdekten, zeggen dat de exploits van Coruna iPhones en iPads met iOS 13 kunnen hacken via iOS 17.2.1, dat in december 2023 werd uitgebracht.
DarkSword bevat echter exploits die iPhones en iPads kunnen hacken met recentere apparaten met iOS 18.4 en 18.7, uitgebracht in september 2025, volgens beveiligingsonderzoekers van Google die de code onderzoeken.
Maar de dreiging van DarkSword is directer voor het grote publiek. Iemand heeft een deel van DarkSword gelekt en gepubliceerd op de codedeelsite GitHub, waardoor het voor iedereen gemakkelijk wordt om de kwaadaardige code te downloaden en zijn eigen aanvallen uit te voeren op Apple-gebruikers met oudere versies van iOS.
Hoe werken Coruna en DarkSword?
Dit soort aanvallen zijn per definitie willekeurig en gevaarlijk, omdat ze iedereen kunnen verstrikken die een bepaalde website bezoekt waarop de kwaadaardige code wordt gehost.
Neem contact met ons op
Heeft u meer informatie over DarkSword, Coruna of andere hack- en spywaretools van de overheid? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram, Keybase en Wire @lorenzofb, of per e-mail.
In sommige gevallen kunnen slachtoffers eenvoudigweg worden gehackt door een legitieme website te bezoeken die onder controle staat van kwaadwillende hackers.
Wanneer slachtoffers in eerste instantie worden geïnfecteerd, maken Coruna en DarkSword misbruik van verschillende kwetsbaarheden in iOS waardoor hackers vrijwel de volledige controle over het apparaat van het doelwit kunnen overnemen, waardoor ze de privégegevens van de persoon kunnen stelen. De gegevens worden vervolgens geüpload naar een webserver die door de hackers wordt beheerd.
Waar komen deze hacktools vandaan?
Ten minste sommige delen van de Coruna-toolkit zijn, zoals TechCrunch eerder meldde, oorspronkelijk ontwikkeld door Trenchant, een hack- en spyware-eenheid binnen de Amerikaanse defensie-aannemer L3Harris, die exploits verkoopt aan de Amerikaanse overheid en haar belangrijkste bondgenoten.
Kaspersky heeft ook twee exploits in de toolkit van Coruna gekoppeld aan Operatie Triangulatie, een complexe en waarschijnlijk door de overheid geleide cyberaanval die naar verluidt is uitgevoerd tegen Russische iPhone-gebruikers.
Nadat Trenchant Coruna had ontwikkeld – op de een of andere manier, het is niet duidelijk hoe – kwamen deze exploits in de handen van Russische spionnen en Chinese cybercriminelen terecht, misschien via een of meer tussenpersonen die exploits op de ondergrondse markt verkopen.
De reizen van Coruna laten opnieuw zien dat krachtige hacktools, inclusief de tools die onder strikte geheimhoudingsbeperkingen voor de VS zijn ontwikkeld, kunnen lekken en zich ongecontroleerd kunnen verspreiden.
Een voorbeeld hiervan was in 2017 toen een exploit, ontwikkeld door de Amerikaanse National Security Agency, die in staat was op afstand in te breken op Windows-computers over de hele wereld, online lekte. Dezelfde exploit werd vervolgens gebruikt bij de destructieve WannaCry-ransomware-aanval, waarbij zonder onderscheid honderdduizenden computers over de hele wereld werden gehackt.
In het geval van DarkSword hebben onderzoekers aanvallen waargenomen die gericht waren op gebruikers in China, Maleisië, Turkije, Saoedi-Arabië en Oekraïne. Het blijft onduidelijk wie DarkSword oorspronkelijk heeft ontwikkeld, hoe het bij verschillende hackgroepen terecht is gekomen of hoe de tools online zijn gelekt.
Hoe zijn de DarkSword-tools online gelekt?
Het is onduidelijk wie heeft gelekt en online op GitHub heeft gepubliceerd, of om welke reden.
De hacktools, die TechCrunch heeft gezien, zijn geschreven in de webtalen HTML en JavaScript, waardoor ze relatief eenvoudig te configureren en overal zelf te hosten zijn door iedereen die kwaadaardige aanvallen wil lanceren. (TechCrunch linkt niet met GitHub omdat de tools kunnen worden gebruikt bij kwaadaardige aanvallen.) Onderzoekers die op X posten, hebben de gelekte tools al getest door hun eigen Apple-apparaten te hacken waarop kwetsbare versies van de software van het bedrijf draaien.
DarkSword is nu “in wezen plug-and-play”, zoals Justin Albrecht, hoofdonderzoeker bij mobiel beveiligingsbedrijf Lookout, aan TechCrunch uitlegde.
GitHub vertelde TechCrunch dat het de gelekte code niet heeft verwijderd, maar deze zal bewaren voor beveiligingsonderzoek.
“Het beleid voor acceptabel gebruik van GitHub verbiedt het plaatsen van inhoud die rechtstreeks onwettige actieve aanvallen of malwarecampagnes ondersteunt die technische schade veroorzaken”, vertelde GitHub’s online veiligheidsadviseur Jesse Geraci aan TechCrunch. “We verbieden echter niet het plaatsen van broncode die gebruikt zou kunnen worden om malware of exploits te ontwikkelen, aangezien de publicatie en distributie van dergelijke broncode educatieve waarde heeft en een netto voordeel oplevert voor de beveiligingsgemeenschap.”
Is mijn iPhone of iPad kwetsbaar voor DarkSword?
Als u een iPhone of iPad heeft die niet up-to-date is, kunt u overwegen om onmiddellijk te updaten.
Apple vertelde TechCrunch dat gebruikers met de nieuwste versies van iOS 15 tot en met iOS 26 al beschermd zijn.
Volgens iVerify: "We raden ten zeerste aan om te updaten naar iOS 18.7.6 of iOS 26.3.1. Dit zal alle kwetsbaarheden verminderen die in deze aanvalsketens zijn uitgebuit."
Volgens de eigen statistieken van Apple gebruikt bijna één op de drie iPhone- en iPad-gebruikers nog steeds niet de nieuwste iOS 26-software. Dat betekent dat er potentieel honderden miljoenen apparaten kwetsbaar zijn voor deze hacktools, aangezien Apple wereldwijd meer dan 2,5 miljard actieve apparaten aanprijst.
Wat moet ik doen als ik niet kan of wil upgraden naar iOS 26?
Apple zei ook dat apparaten met de Lockdown-modus, een extra beveiligingsfunctie die voor het eerst werd geïntroduceerd in iOS 16, deze specifieke aanvallen ook blokkeren.
De Lockdown-modus is nuttig voor journalisten, dissidenten, mensenrechtenactivisten en iedereen die denkt dat ze het doelwit zijn vanwege wie ze zijn of het werk dat ze doen.
Hoewel de Lockdown-modus niet perfect is, is er geen openbaar bewijs dat hackers tot nu toe ooit de beveiliging ervan hebben kunnen omzeilen. (We hebben Apple gevraagd of die bewering nog steeds klopt, en zullen updaten als we iets horen.) De Lockdown-modus bleek ten minste één poging te hebben voorkomen om spyware op de telefoon van een mensenrechtenverdediger te plaatsen.
Het komt zelden voor dat wijdverspreide hacks zich richten op iPhone- en iPad-gebruikers. De afgelopen tien jaar zijn de enige precedenten aanvallen tegen Oeigoerse moslims in China en tegen mensen in Hong Kong geweest.
Nu zijn enkele van deze krachtige hacktools online gelekt, waardoor mogelijk honderden miljoenen iPhones en iPads met verouderde software het risico lopen op gegevensdiefstal.
We zetten uiteen wat we wel en niet weten over deze nieuwste iPhone- en iPad-hackbedreigingen, en wat u kunt doen om beschermd te blijven.
Wat zijn Coruna en DarkSword?
Coruna en DarkSword zijn twee sets geavanceerde hacktoolkits die elk een reeks exploits bevatten die in staat zijn in te breken op iPhones en iPads en iemands gegevens te stelen, zoals berichten, browsergegevens, locatiegeschiedenis en cryptocurrency.
Beveiligingsonderzoekers die de toolkits ontdekten, zeggen dat de exploits van Coruna iPhones en iPads met iOS 13 kunnen hacken via iOS 17.2.1, dat in december 2023 werd uitgebracht.
DarkSword bevat echter exploits die iPhones en iPads kunnen hacken met recentere apparaten met iOS 18.4 en 18.7, uitgebracht in september 2025, volgens beveiligingsonderzoekers van Google die de code onderzoeken.
Maar de dreiging van DarkSword is directer voor het grote publiek. Iemand heeft een deel van DarkSword gelekt en gepubliceerd op de codedeelsite GitHub, waardoor het voor iedereen gemakkelijk wordt om de kwaadaardige code te downloaden en zijn eigen aanvallen uit te voeren op Apple-gebruikers met oudere versies van iOS.
Hoe werken Coruna en DarkSword?
Dit soort aanvallen zijn per definitie willekeurig en gevaarlijk, omdat ze iedereen kunnen verstrikken die een bepaalde website bezoekt waarop de kwaadaardige code wordt gehost.
Neem contact met ons op
Heeft u meer informatie over DarkSword, Coruna of andere hack- en spywaretools van de overheid? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram, Keybase en Wire @lorenzofb, of per e-mail.
In sommige gevallen kunnen slachtoffers eenvoudigweg worden gehackt door een legitieme website te bezoeken die onder controle staat van kwaadwillende hackers.
Wanneer slachtoffers in eerste instantie worden geïnfecteerd, maken Coruna en DarkSword misbruik van verschillende kwetsbaarheden in iOS waardoor hackers vrijwel de volledige controle over het apparaat van het doelwit kunnen overnemen, waardoor ze de privégegevens van de persoon kunnen stelen. De gegevens worden vervolgens geüpload naar een webserver die door de hackers wordt beheerd.
Waar komen deze hacktools vandaan?
Ten minste sommige delen van de Coruna-toolkit zijn, zoals TechCrunch eerder meldde, oorspronkelijk ontwikkeld door Trenchant, een hack- en spyware-eenheid binnen de Amerikaanse defensie-aannemer L3Harris, die exploits verkoopt aan de Amerikaanse overheid en haar belangrijkste bondgenoten.
Kaspersky heeft ook twee exploits in de toolkit van Coruna gekoppeld aan Operatie Triangulatie, een complexe en waarschijnlijk door de overheid geleide cyberaanval die naar verluidt is uitgevoerd tegen Russische iPhone-gebruikers.
Nadat Trenchant Coruna had ontwikkeld – op de een of andere manier, het is niet duidelijk hoe – kwamen deze exploits in de handen van Russische spionnen en Chinese cybercriminelen terecht, misschien via een of meer tussenpersonen die exploits op de ondergrondse markt verkopen.
De reizen van Coruna laten opnieuw zien dat krachtige hacktools, inclusief de tools die onder strikte geheimhoudingsbeperkingen voor de VS zijn ontwikkeld, kunnen lekken en zich ongecontroleerd kunnen verspreiden.
Een voorbeeld hiervan was in 2017 toen een exploit, ontwikkeld door de Amerikaanse National Security Agency, die in staat was op afstand in te breken op Windows-computers over de hele wereld, online lekte. Dezelfde exploit werd vervolgens gebruikt bij de destructieve WannaCry-ransomware-aanval, waarbij zonder onderscheid honderdduizenden computers over de hele wereld werden gehackt.
In het geval van DarkSword hebben onderzoekers aanvallen waargenomen die gericht waren op gebruikers in China, Maleisië, Turkije, Saoedi-Arabië en Oekraïne. Het blijft onduidelijk wie DarkSword oorspronkelijk heeft ontwikkeld, hoe het bij verschillende hackgroepen terecht is gekomen of hoe de tools online zijn gelekt.
Hoe zijn de DarkSword-tools online gelekt?
Het is onduidelijk wie heeft gelekt en online op GitHub heeft gepubliceerd, of om welke reden.
De hacktools, die TechCrunch heeft gezien, zijn geschreven in de webtalen HTML en JavaScript, waardoor ze relatief eenvoudig te configureren en overal zelf te hosten zijn door iedereen die kwaadaardige aanvallen wil lanceren. (TechCrunch linkt niet met GitHub omdat de tools kunnen worden gebruikt bij kwaadaardige aanvallen.) Onderzoekers die op X posten, hebben de gelekte tools al getest door hun eigen Apple-apparaten te hacken waarop kwetsbare versies van de software van het bedrijf draaien.
DarkSword is nu “in wezen plug-and-play”, zoals Justin Albrecht, hoofdonderzoeker bij mobiel beveiligingsbedrijf Lookout, aan TechCrunch uitlegde.
GitHub vertelde TechCrunch dat het de gelekte code niet heeft verwijderd, maar deze zal bewaren voor beveiligingsonderzoek.
“Het beleid voor acceptabel gebruik van GitHub verbiedt het plaatsen van inhoud die rechtstreeks onwettige actieve aanvallen of malwarecampagnes ondersteunt die technische schade veroorzaken”, vertelde GitHub’s online veiligheidsadviseur Jesse Geraci aan TechCrunch. “We verbieden echter niet het plaatsen van broncode die gebruikt zou kunnen worden om malware of exploits te ontwikkelen, aangezien de publicatie en distributie van dergelijke broncode educatieve waarde heeft en een netto voordeel oplevert voor de beveiligingsgemeenschap.”
Is mijn iPhone of iPad kwetsbaar voor DarkSword?
Als u een iPhone of iPad heeft die niet up-to-date is, kunt u overwegen om onmiddellijk te updaten.
Apple vertelde TechCrunch dat gebruikers met de nieuwste versies van iOS 15 tot en met iOS 26 al beschermd zijn.
Volgens iVerify: "We raden ten zeerste aan om te updaten naar iOS 18.7.6 of iOS 26.3.1. Dit zal alle kwetsbaarheden verminderen die in deze aanvalsketens zijn uitgebuit."
Volgens de eigen statistieken van Apple gebruikt bijna één op de drie iPhone- en iPad-gebruikers nog steeds niet de nieuwste iOS 26-software. Dat betekent dat er potentieel honderden miljoenen apparaten kwetsbaar zijn voor deze hacktools, aangezien Apple wereldwijd meer dan 2,5 miljard actieve apparaten aanprijst.
Wat moet ik doen als ik niet kan of wil upgraden naar iOS 26?
Apple zei ook dat apparaten met de Lockdown-modus, een extra beveiligingsfunctie die voor het eerst werd geïntroduceerd in iOS 16, deze specifieke aanvallen ook blokkeren.
De Lockdown-modus is nuttig voor journalisten, dissidenten, mensenrechtenactivisten en iedereen die denkt dat ze het doelwit zijn vanwege wie ze zijn of het werk dat ze doen.
Hoewel de Lockdown-modus niet perfect is, is er geen openbaar bewijs dat hackers tot nu toe ooit de beveiliging ervan hebben kunnen omzeilen. (We hebben Apple gevraagd of die bewering nog steeds klopt, en zullen updaten als we iets horen.) De Lockdown-modus bleek ten minste één poging te hebben voorkomen om spyware op de telefoon van een mensenrechtenverdediger te plaatsen.