Google 的威胁情报团队(Threat Intelligence Group) 发布研究,披露了一个名为 Coruna 的复杂 iOS 利用框架——包含横跨五条完整利用链的 23 个漏洞——在 2025 年被疑似俄罗斯情报行动人员和中国加密货币诈骗团伙广泛使用。
移动安全公司 iVerify 另外得出结论,称该代码库带有美国政府开发工具的典型特征,称其是首个已知的、国家级 iOS 能力被重新用于大规模犯罪活动的案例。
所有被 Coruna 利用的漏洞在当前 iOS 版本中都已修补。运行 iOS 17.2.1 及更早版本(发布至 2023 年 12 月)的设备仍处于受影响范围内。
事件经过
谷歌追踪到,在 2025 年期间,有三股不同的操作者在使用 Coruna。它首次出现于 2 月,被某未具名商业监控软件供应商的一名客户用于一条利用链中。
到夏季,相同的 JavaScript 框架以隐藏 iframe 的形式出现在被入侵的乌克兰网站上,通过地理位置选择性地攻击 iPhone 用户——该活动被归因于 UNC6353,一个疑似俄罗斯间谍组织。到 2025 年底,这整套工具包已被部署在数百个中文假冒加密货币和博彩网站上,仅一轮活动就估计攻陷了约 4.2 万台设备。
该套件以“驱动式下载”攻击方式工作:无需点击。目标一旦访问被攻陷网站,隐蔽的 JavaScript 就会被触发,对设备进行指纹识别,并投放定制化利用链。犯罪者改造后的载荷会扫描 BIP39 助记词,窃取 MetaMask 和 Trust Wallet 数据,并将凭证外传至指挥控制服务器。
影响意义
iVerify 联合创始人、前 NSA 分析师 Rocky Cole 表示,Coruna 的代码库“极其精良”,并在工程特征上与此前已公开、被指与美国政府项目有关的模块存在相似之处,其中包括 Operation Triangulation 的相关组件——这是俄罗斯在 2023 年正式指称为 NSA 所主导的一次 iOS 行动。华盛顿方面从未对此指控发表评论。
Cole 将这一局面形容为潜在的“EternalBlue 时刻”——指的是 NSA 开发的 Windows 漏洞在 2017 年被窃取,随后促成 WannaCry 和 NotPetya 攻击的事件。
谷歌指出,零日利用框架存在一个活跃的“二手市场”,而 Coruna 的踪迹再次强化了这样一种趋势:国家级工具通过中间商流入犯罪基础设施,过程往往没有清晰的交接节点。
NSA 没有回应媒体的置评请求。苹果则已经发布补丁,覆盖所有已知的 Coruna 相关漏洞。
下篇阅读: JPMorgan's Dimon Draws A Hard Line On Stablecoin Interest - How It Could Kill The CLARITY Act