Google 威脅情報團隊(Threat Intelligence Group) 發表研究,詳述一套名為 Coruna 的高階 iOS 攻擊框架——包含橫跨五條完整攻擊鏈的 23 個漏洞——被懷疑在 2025 年期間,遭俄羅斯間諜行動人員及中國加密貨幣騙徒廣泛使用。
行動安全公司 iVerify 另行 指出,該程式碼庫帶有美國政府開發工具的特徵,稱這可能是已知首宗「疑似國家級 iOS 能力」被重新利用於大規模犯罪用途的案例。
所有被 Coruna 利用的漏洞,現行 iOS 版本已全部修補。仍受影響的範圍是執行 iOS 17.2.1 及更早版本(於 2023 年 12 月前發布)的裝置。
事件經過
Google 於 2025 年透過三個不同操作者 追蹤 Coruna 的活動。它最早在 2 月出現,作為某未具名「商業監控供應商」客戶所使用的一條攻擊鏈的一部分。
到夏季,相同的 JavaScript 框架以隱藏 iframe 形式出現在遭入侵的烏克蘭網站上,透過地理位置精準鎖定 iPhone 用戶——此行動被歸因於 UNC6353,一支被懷疑隸屬俄羅斯的間諜組織。到 2025 年底,完整工具包已在數百個假冒的中文加密貨幣與博彩網站上部署,單一行動即估計入侵約 42,000 部裝置。
這套工具以「免點擊」的 drive-by 攻擊方式運作:目標只要造訪被入侵網站,就會觸發靜默執行的 JavaScript,先進行裝置指紋辨識,再投遞量身訂做的攻擊鏈。經犯罪分子改造的惡意載荷會掃描 BIP39 助記詞、竊取 MetaMask 與 Trust Wallet 資料,並將憑證外傳至指揮控制伺服器。
為何重要
iVerify 聯合創辦人、前 NSA 分析師 Rocky Cole 表示,Coruna 的程式碼庫「水準極高」,並與先前已被公開連結至美國政府計畫的模組共享工程特徵,包括來自 Operation Triangulation 的元件——那是一場於 2023 年發生的 iOS 行動,俄羅斯官方將其歸咎於 NSA;華府至今未對該指控發表評論。
Cole 在受訪時 形容 目前情況可能是一個新的「EternalBlue 時刻」——指的是 2017 年遭竊的 NSA 開發 Windows 攻擊工具,後來被用來推動 WannaCry 與 NotPetya 等大規模攻擊。
Google 指出,目前存在活躍的「零日攻擊框架二手市場」,而 Coruna 的軌跡再次凸顯,國家級工具如何透過仲介流入犯罪基礎設施,中間幾乎沒有清晰的交接節點。
NSA 未對媒體查詢作出回應。Apple 則已發布更新,修補所有已知與 Coruna 有關的漏洞。
下一步閱讀: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act