一套原本只为特定国家服务的 iOS 漏洞利用框架，如今正在网络犯罪分子手中疯狂敛财，从乌克兰的政府网站到某大国的虚假加密货币平台，无一幸免。

2026 年 3 月，移动安全领域迎来了一场地震。安全研究机构 iVerify 与谷歌威胁情报小组（GTIG）几乎同时披露了一起震惊业界的重大安全事件：一套代号为“Coruna”的复杂 iOS 漏洞利用框架，已从政府客户手中泄露，并在过去一年中被多个不同背景的攻击者大规模使用。

这并非普通的黑客工具。Coruna 框架包含了 5 条完整的 iOS 漏洞利用链，整合了 23 个独立漏洞，能够攻击从 iOS 13 到 iOS 17.2.1 之间几乎所有版本的 iPhone 设备。这意味着，过去近四年间生产的 iPhone，在这套工具面前几乎门户大开。

01 解剖 Coruna：这不是普通黑客能造出的武器

谷歌威胁情报小组通过对 Coruna 框架的深入逆向分析，揭示了一个令人不寒而栗的事实：这套工具的工程化水平极高。

框架内部采用了极为精密的模块化设计，每个漏洞利用模块都有清晰的代码命名——buffout、jacurutu、bluebird、terrorbird、cassowary……这些以鸟类命名的 WebKit 远程代码执行漏洞，覆盖了从 iOS 13 到 iOS 17.2.1 的完整版本区间。

更令人震惊的是，框架内部嵌入了“调试版本”，将漏洞的代码名称清晰地暴露在研究人员面前。Photon 和 Gallium 这两个内核漏洞利用模块，与 2023 年卡巴斯基披露的“三角行动”（Operation Triangulation）中使用的零日漏洞完全一致——而那起攻击，此前被广泛归因于美国政府。

框架还包含了极为先进的绕过技术：能够检测设备是否开启了“锁定模式”（Lockdown Mode）或用户是否正在使用隐私浏览，一旦发现立即中止攻击；拥有针对指针认证码（PAC）的多种绕过方案；内核漏洞中嵌入了绕过内核级 PAC 的内部模块。

这是一套由国家行为体投入巨资研发、经过实战检验的顶级网络武器。

02 从政府工具到黑市商品：一次危险的扩散

Coruna 的传播路径揭示了商业间谍软件市场的失控现状。

谷歌威胁情报小组的追踪显示，2025 年 2 月，他们首次捕获到这套框架的部分组件——当时，一家商业监控供应商的客户正在使用它进行高度定向的监控行动。

仅仅几个月后，情况发生了变化。2025 年夏季，同一个 JavaScript 框架出现在乌克兰大量被黑的网站上——从工业设备供应商到本地服务网站，无一幸免。这些网站的页面上被嵌入了一个隐藏的 iFrame，加载来自 cdn.uacounter[.]com 的恶意代码，专门针对特定地理位置的 iPhone 用户发动攻击。谷歌与 CERT-UA 合作清理了所有被黑网站，并将其归因于一个疑似俄罗斯背景的间谍组织 UNC6353。

故事的转折发生在 2025 年底。 谷歌研究人员在某大国境内发现了一大批虚假金融网站——伪造的加密货币交易平台、投资理财页面，它们都在试图诱导用户使用 iOS 设备访问。一旦用户上钩，同样的 Coruna 框架便会悄然启动。

这一次，攻击者不再关注用户的地理位置，不再区分目标是政府官员还是普通公民。任何使用 iPhone 访问这些网站的人，都成为了攻击目标。

03 当国家级武器遇上经济犯罪

iVerify 的研究团队对 Coruna 框架的最终载荷进行了逆向工程，发现了一个令人不安的事实：这套工具的最后一步，不再是监控异见人士或窃取政府机密，而是直接盗窃加密货币。

框架最终会植入一个名为 PlasmaLoader（谷歌追踪为 PLASMAGRID）的加载器，使用 com.apple.assistd 作为标识符伪装成系统进程，并将自身注入到 iOS 中以 root 权限运行的守护进程 powerd 中。

植入的载荷具备以下能力：

扫描设备磁盘上的图片，解码其中的二维码

分析文本内容，搜索 BIP39 助记词序列（加密货币钱包恢复短语）

在 Apple 备忘录中查找“备份短语”、“银行账户”等关键词

针对至少 19 款主流加密货币钱包应用进行钩子注入

被针对的应用名单几乎覆盖了所有主流加密钱包：MetaMask、Phantom、Trust Wallet、Uniswap、Tonkeeper……研究人员的发现更为惊人：除 WhatsApp 之外的所有加密货币钱包都易受攻击。

更可怕的是，载荷内置了动态模块加载机制，可以从 C2 服务器获取并执行任意附加模块。通信数据经过 AES 加密，密钥来自静态字符串的 SHA256 哈希值。当 C2 服务器失效时，植入物会使用种子“lazarus”生成域名算法（DGA），预测生成 15 位的.xyz 域名，并通过 Google 公共 DNS 验证域名活性。

代码中的中文日志字符串和表情符号，以及部分模块中出现的 LLM 生成风格注释，为攻击者的归属提供了线索，但更值得关注的是：这套工具的最终受害者，已经从“特定目标”变成了“任何拥有 iPhone 和加密货币的人”。

04 历史的重演：从 EternalBlue 到 Coruna

对于关注网络安全历史的人来说，这一幕似曾相识。

2017 年，美国国家安全局（NSA）开发的 Windows 漏洞利用工具 EternalBlue（永恒之蓝）被黑客组织“影子经纪人”泄露。NSA 明知这个零日漏洞的存在，却选择不向微软报告，而是在自己的网络行动中利用了它长达数年。

工具泄露后，微软紧急发布补丁，但为时已晚。两个月后，WannaCry 勒索软件席卷全球，利用 EternalBlue 漏洞攻击未打补丁的系统，造成数十亿美元损失。六周后，同一框架被用于 NotPetya 攻击，再后来被整合进 Retefe 银行木马。

iVerify 联合创始人 Rocky Cole 直言不讳： “这是 EternalBlue 事件的重演，只不过这次是在移动设备上。”

唯一不同的是，这一次的泄露渠道可能更为复杂。TechCrunch 曾报道美国国防承包商 L3Harris Trenchant 前负责人 Peter Williams 的案件——他承认窃取了 8 个漏洞利用程序，卖给与俄罗斯政府有联系的中间人，被判七年监禁。检方称，他出售的漏洞能够入侵全球“数百万台计算机和设备”。

这是一个正在蓬勃发展的“二手零日漏洞市场”。 当监控技术公司为了利润将工具出售给越来越多的“合法”客户，当政府开发的武器级漏洞被内部人员窃取倒卖，最终买单的，是每一个普通用户的数字安全。

05 普通用户如何自保？答案令人无奈

面对如此复杂的攻击框架，普通用户该如何应对？

好消息是，苹果已经在后续版本中修复了 Coruna 框架利用的漏洞。iOS 17.3 及以上版本的用户不受影响。 谷歌安全浏览已将所有识别到的恶意域名加入黑名单，保护用户免遭进一步利用。

但坏消息是，对于无法升级到最新系统的旧设备，风险依然存在。iVerify 的建议坦诚得令人心酸：

“每天重启设备。”

这是因为大多数间谍软件攻击缺乏持久性——重启可以清除内存中的感染。但如果用户再次访问恶意网站，设备可能再次被感染。

对于依赖 iPhone 处理工作事务、存储敏感信息、管理加密资产的用户来说，这显然不是一个理想的解决方案。但正如安全专家所言：在没有完整移动安全框架的情况下，这可能是普通用户抵御高级恶意软件的最有效方法。

其他建议包括：

立即将设备更新至最新 iOS 版本（包含已知漏洞补丁）

在无法更新的设备上启用“锁定模式”（Lockdown Mode）

重置通过设备访问的所有在线服务密码

在所有重要账户上启用双因素认证

谨慎点击不明链接，警惕诱导访问的色情或加密货币网站

06 谁该为此负责？

Coruna 事件引发了更深层次的拷问。

“帕尔马尔进程”（Pall Mall Process）——一个旨在规范间谍软件使用的国际自愿框架——正在缓慢推进。商业间谍软件供应商和购买它们的政府一再保证，这些技术只会用于反恐、打击犯罪，仅限于非专制政府使用。

但现实一再证明，一旦间谍软件或漏洞利用能力被售出，对最终用户的控制便随之丧失。

iVerify 在其报告中直言不讳：“中间商不可信赖，间谍软件市场的企业间交易缺乏监管。使用范围越广，泄露的可能性就越大。”

谷歌在其分析报告中强调，他们一直积极参与帕尔马尔进程，致力于建立国际规范和框架，限制这些强大技术的滥用。但规范的形成需要时间，而漏洞的扩散却在加速。

最讽刺的是，正如 iVerify 所指出的：“虽然 iVerify 掌握了一些证据表明该工具是泄露的美国政府框架，但这不应掩盖这样一个事实：这些工具最终会流入市场，并被不法分子肆意利用。”

无论是哪个国家最初开发了这套武器级漏洞框架，今天，它已经落入网络犯罪分子手中，成为了窃取普通人加密货币的工具。

当政府用纳税人的钱打造网络武器，当商业公司为了利润将这些武器贩卖给任何出价者，当内部人员将国家机密卖给外国中间商——最终受害的，永远是最没有能力保护自己的普通用户。

你的 iPhone 里可能没有国家机密，但可能有你辛苦积攒的加密货币、你的银行账户信息、你的私密照片和对话。对于网络犯罪分子来说，这就足够了。

EternalBlue 的历史告诉我们：政府级武器一旦泄露，其危害将持续数年，甚至数十年。 Coruna 的故事才刚刚开始。

本文转载于微信公众号-- 网空闲话 plus

参考资源

1、 https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit

2、 https://iverify.io/press-releases/first-known-mass-ios-attack

3、 https://techcrunch.com/2026/03/03/a-suite-of-government-hacking-tools-targeting-iphones-is-now-being-used-by-cybercriminals/