Google 威脅情報團隊(Threat Intelligence Group) 發布研究報告,詳述一個名為 Coruna 的高階 iOS 攻擊框架——橫跨五條完整攻擊鏈、共包含 23 個漏洞——在 2025 年遭疑似俄羅斯間諜行動人員與中國加密貨幣詐騙集團廣泛使用。
行動資安公司 iVerify 另外 concluded 指出,其原始碼帶有美國政府開發工具的特徵,稱這是已知首起疑似「國家級 iOS 能力」被轉用於大規模犯罪的案例。
所有被 Coruna 利用的漏洞,目前在最新的 iOS 版本中都已修補。執行 iOS 17.2.1 及更早版本(發布至 2023 年 12 月)的裝置仍屬於受影響範圍。
事件經過
Google tracked 發現,Coruna 在 2025 年由三個不同的操作方使用。它首次現身於 2 月,出現在某家未具名商業監控業者客戶使用的攻擊鏈中。
到了夏季,相同的 JavaScript 框架以隱藏 iframe 形式植入遭入侵的烏克蘭網站,依據地理位置精準鎖定 iPhone 用戶——此行動被歸因於 UNC6353,一個疑似俄羅斯間諜組織。到了 2025 年底,整套工具已被部署在數百個中文假冒加密貨幣與賭博網站上,估計僅一波行動就攻陷約 42,000 部裝置。
這套工具以「免點擊」瀏覽器攻擊方式運作:目標只要造訪遭入侵的網站,就會觸發隱密執行的 JavaScript,先對裝置進行指紋辨識,再投遞量身打造的攻擊鏈。經犯罪集團改造後的惡意程式會掃描 BIP39 助記詞,竊取 MetaMask 與 Trust Wallet 的相關資料,並把憑證回傳至遠端指揮控制伺服器。
為何重要
iVerify 共同創辦人、前 NSA 分析師 Rocky Cole 表示,Coruna 的程式碼品質「極為精良」,其工程風格與先前被公開連結到美國政府計畫的模組高度相似,其中包括 2023 年 iOS 行動「Operation Triangulation」的部分元件——該行動曾被俄羅斯官方歸咎於 NSA,但華府從未對此指控發表評論。
Cole 在 described 此情況時,將之形容為另一個可能的「EternalBlue 時刻」——指的是 NSA 開發的 Windows 漏洞在 2017 年遭竊後,成為 WannaCry 與 NotPetya 攻擊的關鍵工具。
Google 指出,目前存在活躍的零日攻擊框架「二手市場」,而 Coruna 的流向再次證明,國家級工具會透過中介商輾轉流入犯罪基礎設施,整個移轉過程幾乎看不到明確的交接節點。
NSA 對媒體置評請求未予回應。Apple 則已發布更新,修補所有已知與 Coruna 有關的漏洞。
接下來閱讀: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act