文章总结： Google发现Coruna工具包利用23个漏洞入侵数千部iPhone，覆盖iOS13至17.2.1。该工具包具备国家级特征，流经商业监控、俄间谍活动及中国金融诈骗三个阶段，最终载荷PlasmaLoader窃取加密货币数据。建议用户更新系统、启用锁定模式并监控相关网络指标。 综合评分： 91 文章分类： 移动安全,漏洞分析,威胁情报,漏洞预警

Coruna漏洞利用工具包包含23个漏洞，已入侵数千部iPhone

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月4日 12:41 北京

歌威胁情报小组 (GTIG) 发现了 Coruna，这是一个复杂的 iOS 漏洞利用工具包，包含 23 个漏洞利用程序，分布在 5 个完整的漏洞利用链中，在 2025 年期间入侵了数千部运行 iOS 13.0 至 17.2.1 的 iPhone。

Coruna漏洞利用工具包是由GTIG发现的先进模块化iOS攻击框架，针对iOS 13.0（2019年9月）至iOS 17.2.1（2023年12月）的苹果iPhone机型。

当一名威胁行为者错误地部署了该框架的调试版本时，该工具包的名称被揭露出来，暴露了内部代码名称和该工具包自身的身份。

其漏洞利用程序包含大量用英语编写的文档，其中最先进的组件利用了非公开的漏洞利用技术和缓解绕过措施，这是国家级工具的标志。

三阶段攻击时间表

GTIG 追踪了 Coruna在 2025 年期间在三个不同的威胁行为者生态系统中的传播情况，这让我们得以罕见地了解精英漏洞利用工具包如何从商业监控供应商扩散到国家支持的间谍组织，最终扩散到以经济利益为动机的犯罪分子手中。

• 2025年2月 – 商业监控客户： GTIG首次捕获到部分iOS漏洞利用链，该漏洞利用链通过一个此前未知的JavaScript框架，利用独特的混淆技术进行传播。该框架对设备进行指纹识别，以确定iPhone型号和iOS版本，然后加载相应的WebKit远程代码执行（RCE）漏洞利用程序，最后绕过指针认证码（PAC）。
• 2025年夏季——俄罗斯间谍活动（UNC6353）：一个相同的JavaScript框架被发现托管在[cdn.uacounter[.]com此处应填写托管地址]，并以隐藏的iFrame形式注入到数十个被入侵的乌克兰网站中，这些网站涵盖工业、零售和电子商务领域。攻击会根据地理位置选择性地推送给iPhone用户。GTIG已通知CERT-UA清理所有受影响的网站。
• 2025 年末——中国金融诈骗（UNC6691）：完整的漏洞利用工具包已从一个大型的虚假中国金融和加密货币网站网络中被获取，这些网站旨在诱骗 iOS 用户。其中一个虚假的 WEEX 加密货币交易所会弹出窗口，专门诱导用户使用 iPhone 访问。

这 23 个漏洞利用程序涵盖五条完整的漏洞利用链，可实现 WebKit 远程代码执行 (RCE)、绕过页面保护层 (PAC)、沙箱逃逸、权限提升 (PE) 和绕过页面保护层 (PPL)。主要 CVE 编号包括：

| Type | Code Name | Targeted iOS Versions | CVE | | — | — | — | — | | WebContent R/W | buffout | 13 → 15.1.1 | CVE-2021-30952 | | WebContent R/W | jacurutu | 15.2 → 15.5 | CVE-2022-48503 | | WebContent R/W | terrorbird | 16.2 → 16.5.1 | CVE-2023-43000 | | WebContent R/W | cassowary | 16.6 → 17.2.1 | CVE-2024-23222 | | Sandbox Escape | IronLoader | 16.0 → 16.3.1 | CVE-2023-32409 | | PE | Photon | 14.5 → 15.7.6 | CVE-2023-32434 | | PPL Bypass | Gallium | 14.x | CVE-2023-38606 | | PPL Bypass | Sparrow | 17.0 → 17.3 | CVE-2024-23225 | | PPL Bypass | Rocket | 17.1 → 17.4 | CVE-2024-23296 |

Photon 和 Gallium这两个漏洞利用程序针对的是此前在“三角行动”（Operation Triangulation）中使用的漏洞，该行动是卡巴斯基在 2023 年发现的 iOS 间谍活动。

PlasmaLoader：金融盗窃有效载荷

在攻击链的末端，一个名为 PlasmaLoader（跟踪为 PLASMAGRID）的暂存二进制文件会将自身注入到powerd根级 iOS 守护程序中，并使用com.apple.assistd伪装标识符。

该攻击载荷的目标是 18 款加密货币钱包应用程序，包括 MetaMask、BitKeep 和 Phantom，通过劫持其功能来窃取敏感数据。

它还可以扫描 Apple Notes，查找 BIP39 种子短语和关键词，例如“备份短语”或“银行账户”。所有日志字符串和代码注释均以中文编写，并有 LLM 生成的注释结构痕迹，这强烈指向讲中文的开发者。

网络通信使用 HTTPS 和 AES 加密，同时使用自定义域名生成算法 (DGA) 生成.xyz15 个字符的备用域名，并通过 Google 的公共 DNS 解析器进行验证。

GTIG 已将所有已识别的域名和网站添加到 Google 安全浏览。Coruna 漏洞利用工具包对最新版本的 iOS 无效。安全团队和用户应采取以下措施：helpnetsecurity+1

• 立即将所有 iPhone 更新到最新 iOS 版本。
• 如果无法更新，请启用锁定模式 — 当检测到锁定模式时，Coruna 会主动退出。
• 避免通过移动版 Safari 浏览器访问私人或未经核实的金融/加密货币网站。
• 监控对.xyz域或 HTTP 标头的异常网络请求sdkv，并将其x-ts作为潜在的 C2 指标。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Coruna漏洞利用工具包包含23个漏洞，已入侵数千部iPhone》