Google 威脅情報團隊(Threat Intelligence Group) 發表研究,詳述一套名為 Coruna 的高階 iOS 攻擊框架——涵蓋 5 條完整攻擊鏈、共 23 個漏洞——在 2025 年被疑似俄羅斯間諜行動人員與中國加密貨幣詐騙集團廣泛使用。
行動資安公司 iVerify 另外得出結論,指出該程式碼庫帶有美國政府開發工具的特徵,稱其為首個已知「疑似由國家級 iOS 能力外流,並被改作大規模犯罪用途」的案例。
所有被 Coruna 利用的漏洞,在目前版本的 iOS 中都已修補。執行 iOS 17.2.1 及更早版本(截至 2023 年 12 月釋出的版本)的裝置,仍屬受影響範圍。
事件經過
Google 追蹤 Coruna 在 2025 年間由三個不同操作者使用的情況。它最早於 2 月出現於一條攻擊鏈中,該攻擊鏈是某未具名商業監控業者客戶所使用。
到了夏季,相同的 JavaScript 框架以隱藏 iframe 的形式出現在遭入侵的烏克蘭網站上,透過地理位置精準鎖定 iPhone 使用者——此行動被歸因於疑似俄羅斯間諜組織 UNC6353。到了 2025 年底,完整工具包已在數百個中文假冒加密貨幣與線上賭博網站上部署,在單一行動中估計就入侵了約 42,000 部裝置。
該工具包以「免點擊」(no-click)的 drive-by 攻擊運作:目標只要造訪遭入侵的網站,就會觸發隱蔽的 JavaScript,對裝置進行指紋辨識並投遞量身訂做的攻擊鏈。經犯罪集團改造後的載荷會掃描 BIP39 助記詞,竊取 MetaMask 與 Trust Wallet 資料,並將憑證外傳到指揮控制伺服器。
為什麼重要
iVerify 共同創辦人、前 NSA 分析師 Rocky Cole 表示,Coruna 的程式碼品質「極為優秀」,且在工程特徵上與先前已被公開連結至美國政府專案的模組相似,其中包括 Operation Triangulation 的部分元件——這是一場 2023 年的 iOS 行動,俄羅斯官方曾將其歸咎於 NSA。華盛頓方面從未對該指控作出評論。
Cole 在描述 這一情況時,稱其可能是另一個「EternalBlue 時刻」——指的是 NSA 開發、在 2017 年遭竊的 Windows 漏洞利用工具,後來被用來發動 WannaCry 與 NotPetya 攻擊。
Google 指出,目前存在活躍的零日攻擊框架「二手市場」,而 Coruna 的軌跡再次凸顯:國家級工具如何透過仲介流入犯罪基礎設施,中間交接點卻完全不明。
NSA 對於置評要求並未回應。Apple 則已發布更新,修補所有已知與 Coruna 有關的漏洞。
接著看: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act