蘋果 iPhone 黑客工具被間諜使用，加密貨幣詐騙可能源自美國情報機構

簡要

• Google 已識別出一個名為 Coruna 的高級 iOS 利用套件，包含23個漏洞。
• 該工具包被疑似俄羅斯間諜和中國加密貨幣詐騙者使用。
• 安全公司 iVerify 表示，程式碼中的線索暗示其可能源自美國情報承包商。

Google 的威脅情報小組（GTIG）發現了一個強大的 iPhone 黑客工具包，能在用戶訪問惡意網站時感染設備，意味著惡意軟件可以在未點擊任何內容的情況下傳播。
該框架名為“Coruna”，包括五個完整的 iOS 利用鏈和23個針對運行 iOS 13 至 17.2.1 的 iPhone 的漏洞。研究人員表示，部分漏洞依賴於此前未見的技術來繞過蘋果的安全防護。

Coruna 利用套件針對 iOS。

Coruna 利用23個漏洞攻擊運行 iOS 13-17.2.1 的蘋果設備。它被用於間諜活動，以及由經濟動機驅動的行為者用來竊取加密貨幣。

更新您的 iOS 設備，並了解更多關於此威脅的資訊：https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant（谷歌雲旗下） (@Mandiant) 2026年3月3日

GTIG 於2025年初首次在一個未具名商業監控供應商的客戶使用的利用鏈中識別出該工具包的部分內容。該程式碼使用一個 JavaScript 框架，能辨識設備，確定 iPhone 型號和作業系統版本，然後傳送定制的漏洞利用。
同一框架在2025年中期再次出現在被攻破的烏克蘭網站上。谷歌將該活動歸因於 UNC6353，一個疑似俄羅斯間諜組織，該組織利用隱藏的 iframe 有選擇性地攻擊訪問的 iPhone 用戶。
年中，研究人員在數百個與加密貨幣和金融詐騙相關的中文網站上再次發現該工具包。這些網站試圖誘使受害者使用 iOS 設備訪問，然後注入漏洞套件。
報告指出，Coruna 使用的漏洞已在蘋果較新版本的行動作業系統中修補，並敦促用戶更新設備。該漏洞套件不適用於最新版本的 iOS。

可能的美國起源
儘管 GTIG 的報告未指明原始監控供應商的客戶或開發者，但移動安全公司 iVerify 的研究人員表示，程式碼中的元素暗示其可能來自美國。

“它高度複雜，耗費數百萬美元開發，並具有其他已公開歸屬於美國政府模組的特徵，” iVerify 聯合創始人 Rocky Cole 對 WIRED 表示。他補充說，這是該公司首次發現“極有可能是美國政府工具”的被對手和網絡犯罪集團採用，且已“失控”。
iVerify 估計，僅在一場活動中，約有42,000台設備受到影響，這是通過分析與中國語言詐騙網站相關的指揮控制伺服器的流量得出的結論。
該工具包針對蘋果 WebKit 瀏覽器引擎中的漏洞，並包括一個載入器，根據設備型號和作業系統版本部署不同的漏洞鏈。有效載荷經過加密、壓縮，並以定制文件格式傳送，以躲避檢測。
“強烈建議 iPhone 用戶將設備更新到最新版本的 iOS，” GTIG 表示，並補充說，如果無法更新，蘋果的 Lockdown 模式也能提供額外保護。