Google 威脅情報小組(Threat Intelligence Group) 發表研究報告,披露一套高度複雜的 iOS 攻擊框架 Coruna。該框架橫跨五條完整攻擊鏈,合共包含 23 個漏洞,被懷疑由俄羅斯情報行動人員及中國加密貨幣騙徒在 2025 年全年間廣泛使用。
行動保安公司 iVerify 另外發表結論指,Coruna 的程式碼基底帶有美國政府開發工具的特徵,稱其為已知首宗疑似「國家級 iOS 能力」被改造後,用於大規模犯罪用途的案例。
所有被 Coruna 利用的漏洞,已在目前版本的 iOS 中獲得修補。仍在使用 iOS 17.2.1 及以前版本(截至 2023 年 12 月推出)的裝置,屬於受影響範圍。
事件經過
Google 追蹤 Coruna 在 2025 年期間由三個不同操作者使用的情況。它首次出現於 2 月,當時是一條由一間未具名商業監控供應商客戶使用的攻擊鏈的一部分。
到夏季,相同的 JavaScript 框架開始以隱藏 iframe 形式,出現在遭入侵的烏克蘭網站上,透過地理位置精準鎖定 iPhone 用戶。該行動被歸因於 UNC6353——一個被懷疑與俄羅斯間諜活動有關的組織。到 2025 年底,整套工具包已被部署在數以百計的中文假冒加密貨幣及賭博網站上,單一行動中估計已攻陷約 42,000 部裝置。
這套工具以「免點擊」瀏覽式攻擊運作:目標只要瀏覽遭入侵網站,即會觸發隱藏的 JavaScript 程式碼,對裝置進行指紋辨識,再下發度身訂造的攻擊鏈。犯罪分子改造後的惡意程式會掃描 BIP39 助記詞,竊取 MetaMask 及 Trust Wallet 資料,並將帳戶憑證回傳至指揮與控制伺服器。
為何重要
iVerify 聯合創辦人、前 NSA 分析員 Rocky Cole 指出,Coruna 的程式碼品質「極為精良」,在工程風格上與先前公開、被指與美國政府計劃有關的模組相似,其中包括 Operation Triangulation——一場在 2023 年針對 iOS 的行動,俄羅斯曾正式將其歸咎於 NSA,但華府從未就此指控發表評論。
Cole 在接受訪問時,形容目前情況可能是另一個「EternalBlue 時刻」——指 2017 年遭竊的 NSA 開發 Windows 漏洞攻擊工具,後來被用來推動 WannaCry 與 NotPetya 大型網絡攻擊。
Google 指出,零日攻擊框架存在活躍的「二手市場」,而 Coruna 的流向再次印證,國家級攻擊工具如何透過中間商,逐步流入犯罪基建,過程中幾乎無法辨識明確的轉移節點與責任歸屬。
NSA 沒有回應傳媒查詢。Apple 則已推出更新,修補所有已知與 Coruna 有關的漏洞。
接著看: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act