苹果iPhone黑客工具被间谍使用,加密诈骗可能源自美国情报机构
简要概述
- 谷歌已发现一个名为Coruna的复杂iOS漏洞利用工具包,包含23个漏洞。
- 该工具包被疑似俄罗斯间谍和中国加密货币诈骗者使用。
- 安全公司iVerify表示,代码中的线索暗示其可能源自美国情报承包商。
谷歌威胁情报组(GTIG)发现了一个强大的iPhone黑客工具包,能够在用户访问恶意网站时感染设备,这意味着无需点击任何内容,恶意软件即可传输。
该框架名为“Coruna”,包括五个完整的iOS漏洞链和23个针对运行iOS 13至17.2.1的iPhone的漏洞。研究人员表示,其中一些漏洞依赖于此前未见的技术,以绕过苹果的安全保护。
Coruna漏洞利用工具包针对iOS。
Coruna利用23个漏洞攻击运行iOS 13-17.2.1的苹果设备。它被用于间谍活动,以及由经济动机驱动的行为者窃取加密货币。
更新您的iOS设备,并了解更多关于此威胁的信息:https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw
— Mandiant(谷歌云旗下) (@Mandiant) 2026年3月3日
GTIG在2025年初首次在一个未透露名称的商业监控供应商客户使用的漏洞链中识别出该工具包的部分内容。该代码使用了一个JavaScript框架,通过指纹识别设备以确定iPhone型号和操作系统版本,然后投放定制的漏洞利用。
同一框架在2025年中期出现在被攻破的乌克兰网站上。谷歌将该行动归因于UNC6353,一个疑似俄罗斯间谍组织,该组织利用隐藏的iframe有选择性地针对访问的iPhone用户。
当年晚些时候,研究人员在数百个与加密货币和金融诈骗相关的中文网站上再次发现了该工具包。这些网站试图引诱受害者使用iOS设备访问,然后注入漏洞利用工具包。
报告指出,Coruna所利用的漏洞已在苹果移动操作系统的更新版本中修补,呼吁用户及时更新设备。该漏洞利用工具包不适用于最新版本的iOS。
可能的美国起源
虽然GTIG的报告未披露原始监控供应商客户或开发者,但移动安全公司iVerify的研究人员表示,代码中的元素暗示其可能源自美国。
“它高度复杂,耗费数百万美元开发,具有其他已公开归因于美国政府的模块的特征,”iVerify联合创始人Rocky Cole对_WIRED_表示。他补充说,这是该公司首次发现“极有可能是美国政府工具”的被对手和网络犯罪团伙采用的例子,且“已失控”。
iVerify估算,仅在一次行动中,约有42,000台设备被感染,原因是分析了连接到中国语言诈骗网站的指挥控制服务器的流量,这些网站分发了漏洞利用程序。
该工具包针对苹果WebKit浏览器引擎中的漏洞,包含一个加载器,根据设备型号和操作系统版本部署不同的漏洞链。载荷经过加密、压缩,并以一种定制文件格式传输,旨在规避检测。
“强烈建议iPhone用户将设备更新到最新版本的iOS,”GTIG表示,并补充说,如果无法更新,苹果的“Lockdown Mode”可以提供额外保护。