Google 的威胁情报团队(Threat Intelligence Group) 发布研究,披露了一个名为 Coruna 的高度复杂 iOS 利用框架——横跨五条完整利用链,共包含 23 个漏洞——在 2025 年被疑似俄罗斯情报行动人员和中国加密货币诈骗团伙使用。
移动安全公司 iVerify 另行得出结论,认为该代码库带有美国政府开发工具的特征,称这是已知首例疑似国家级 iOS 能力被改造后大规模用于犯罪活动的案例。
所有被 Coruna 利用的漏洞均已在当前 iOS 版本中修复。运行 iOS 17.2.1 及更早版本(截至 2023 年 12 月发布)的设备仍处于受影响范围内。
事件经过
Google 在 2025 年间通过三个不同运营方跟踪到了 Coruna。它最早于 2 月出现,被用于一条由某未具名商业监控供应商客户使用的利用链中。
到夏季,相同的 JavaScript 框架以隐藏 iframe 的形式出现在被入侵的乌克兰网站上,通过地理位置精准定向 iPhone 用户——被归因于 UNC6353,一个疑似俄罗斯间谍组织。到 2025 年底,完整工具包被部署在数百个中文假冒加密货币与赌博网站上,在单次行动中估计入侵约 42,000 台设备。
该工具包以“旁路式”(drive‑by)攻击方式运作:无需点击。目标一旦访问被入侵网站,就会触发静默执行的 JavaScript,对设备进行指纹识别并投递定制化利用链。被犯罪分子改造后的载荷会扫描 BIP39 助记词,窃取 MetaMask 和 Trust Wallet 数据,并将凭证外传至指挥控制服务器。
重要性何在
iVerify 联合创始人、前 NSA 分析员 Rocky Cole 表示,Coruna 的代码库“极其精良”,与此前被公开关联到美国政府项目的模块在工程特征上高度相似,其中包括 Operation Triangulation(“三角测量行动”)的组件——这是一个在 2023 年被俄罗斯官方归咎于 NSA 的 iOS 行动。华盛顿方面从未就该指控发表过评论。
Cole 在描述这一局面时,将其比作潜在的“EternalBlue 时刻”——后者指的是 2017 年遭窃的 NSA 开发 Windows 利用程序,后来被用于 WannaCry 和 NotPetya 攻击。
Google 指出,目前存在一个活跃的零日利用框架“二手市场”,Coruna 的踪迹进一步印证了国家级工具如何通过中间商渗入犯罪基础设施,而交接节点却模糊不清。
NSA 没有回应置评请求。Apple 已发布补丁,覆盖所有已知的 Coruna 漏洞。
下篇阅读: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act