กลุ่ม Threat Intelligence ของ Google เผยแพร่งานวิจัยที่อธิบายเฟรมเวิร์กเจาะช่องโหว่ iOS ขั้นสูงชื่อ Coruna ซึ่งมีช่องโหว่รวม 23 รายการในห่วงโซ่การเจาะสมบูรณ์ 5 ชุด ถูกใช้งานโดยผู้ต้องสงสัยว่าเป็นปฏิบัติการจารกรรมของรัสเซียและแก๊งมิจฉาชีพคริปโตสัญชาติจีนตลอดปี 2025
บริษัทความปลอดภัยมือถือ iVerify แยกกันออกมา concluded ว่าโค้ดเบสมีลักษณะคล้ายกับเครื่องมือที่พัฒนาจากหน่วยงานรัฐบาลสหรัฐฯ โดยระบุว่าเป็นกรณีแรกที่พบความสามารถระดับรัฐชาติบน iOS ถูกดัดแปลงไปใช้ในอาชญากรรมแบบวงกว้าง
ช่องโหว่ทั้งหมดที่ Coruna ใช้ประโยชน์ถูกอุดแล้วในเวอร์ชัน iOS ปัจจุบัน อุปกรณ์ที่รัน iOS 17.2.1 และเวอร์ชันที่เก่ากว่า ซึ่งออกถึงเดือนธันวาคม 2023 ยังคงอยู่ในช่วงที่ได้รับผลกระทบ
เกิดอะไรขึ้น
Google tracked การทำงานของ Coruna ผ่านผู้ปฏิบัติการ 3 กลุ่มที่แตกต่างกันตลอดปี 2025 มันปรากฏตัวครั้งแรกในเดือนกุมภาพันธ์ในห่วงโซ่เจาะช่องโหว่ที่ใช้โดยลูกค้าของผู้ขายระบบสอดแนมเชิงพาณิชย์ซึ่งไม่เปิดเผยชื่อ
ในช่วงฤดูร้อน เฟรมเวิร์ก JavaScript ชุดเดียวกันนี้ปรากฏในรูปแบบ iframe ซ่อนอยู่บนเว็บไซต์ของยูเครนที่ถูกยึดครอง เลือกโจมตีผู้ใช้ iPhone ตามตำแหน่งที่ตั้งทางภูมิศาสตร์ ซึ่งถูกระบุว่าเป็นผลงานของ UNC6353 กลุ่มที่ต้องสงสัยว่าเป็นหน่วยจารกรรมรัสเซีย ต่อมาช่วงปลายปี 2025 ชุดเครื่องมือเต็มรูปแบบถูกปล่อยบนเว็บไซต์ปลอมภาษาจีนเกี่ยวกับคริปโตเคอร์เรนซีและการพนันนับร้อยแห่ง คาดว่าทำให้มีอุปกรณ์ถูกเจาะราว 42,000 เครื่องในแคมเปญเดียว
ชุดเครื่องมือนี้ทำงานแบบ drive-by ไม่ต้องคลิกเป้าหมาย เพียงแค่เหยื่อเข้าเยี่ยมชมเว็บไซต์ที่ถูกฝังโค้ดก็จะเรียกใช้ JavaScript แบบเงียบ ๆ เพื่อเก็บข้อมูลลายนิ้วมือของอุปกรณ์และส่งมอบห่วงโซ่การเจาะที่ปรับตามเป้าหมาย เพย์โหลดเวอร์ชันอาชญากรรมจะสแกนหา seed phrase แบบ BIP39 ดูดข้อมูล MetaMask และ Trust Wallet และส่งต่อข้อมูลรับรองไปยังเซิร์ฟเวอร์สั่งการและควบคุม
อ่านเพิ่มเติม: Women Hold 25% Of Crypto Users Despite Controlling A Growing Share Of Global Wealth, Bitget Data Show
ทำไมเรื่องนี้ถึงสำคัญ
Rocky Cole ผู้ร่วมก่อตั้ง iVerify และอดีตนักวิเคราะห์ NSA ระบุว่าโค้ดเบสของ Coruna “ยอดเยี่ยมมาก” และมีลายนิ้วมือด้านวิศวกรรมคล้ายกับโมดูลที่เคยถูกเชื่อมโยงต่อสาธารณะกับโครงการของรัฐบาลสหรัฐฯ รวมถึงส่วนประกอบจาก Operation Triangulation แคมเปญโจมตี iOS ปี 2023 ที่รัฐบาลรัสเซียระบุอย่างเป็นทางการว่าเป็นฝีมือ NSA ขณะที่วอชิงตันไม่เคยออกความเห็นต่อข้อกล่าวหานั้น
Cole described สถานการณ์นี้ว่าอาจเป็น “ช่วงเวลาแบบ EternalBlue” โดยอ้างถึงช่องโหว่ Windows ที่พัฒนาโดย NSA ซึ่งถูกขโมยในปี 2017 และถูกนำไปใช้ในการโจมตี WannaCry และ NotPetya ในภายหลัง
Google ระบุว่ามี “ตลาดมือสอง” ที่ยังเคลื่อนไหวสำหรับเฟรมเวิร์กเจาะช่องโหว่แบบ zero-day โดยเส้นทางของ Coruna ตอกย้ำให้เห็นว่าเครื่องมือระดับรัฐสามารถไหลผ่านนายหน้าไปสู่โครงสร้างพื้นฐานอาชญากรรมได้โดยไม่มีจุดส่งมอบที่ชัดเจน
NSA ไม่ได้ตอบคำขอให้แสดงความเห็น Apple ออกแพตช์ครอบคลุมช่องโหว่ทั้งหมดของ Coruna แล้ว
อ่านต่อ: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act