文章总结： 谷歌发现名为Coruna的复杂iPhone黑客工具包疑似源自美国政府，已泄露至俄罗斯间谍与网络犯罪团伙。该工具利用23个漏洞攻击iOS13至17.2.1版本，造成数万台设备感染。专家称其为移动版永恒之蓝，揭露了承包商违规交易导致漏洞扩散的风险。建议用户升级至最新系统并开启锁定模式以防范攻击。 综合评分： 85 文章分类： 移动安全,漏洞分析,威胁情报,安全大事件

---

连线：一套美国政府开发的入侵iPhone的工具包落入外国间谍和犯罪分子手中

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年3月4日 09:02 湖北

导读

一套高度复杂的iPhone劫持技术可能已经感染了数万部甚至更多的手机。线索表明，它最初是为美国政府开发的。

一款能够肆意劫持任何访问过网站的iOS设备的黑客工具包，曾被用于多起大规模iPhone攻击活动，如今走上了一条更为罕见且令人不安的道路：它似乎已从曾用于攻击乌克兰用户的俄罗斯间谍手中，流向一个旨在窃取加密货币的网络犯罪团伙——线索表明，它最初可能由一家美国承包商开发，并出售给美国政府。

谷歌安全研究人员周二发布一份报告，描述了他们称之为“Coruna”的复杂iPhone黑客工具包。

该工具包包含五种完整的黑客技术，能够绕过iPhone的所有防御机制，并在设备访问包含漏洞利用代码的网站时悄悄地安装恶意软件。

Coruna总共利用了iOS系统中的23个不同的漏洞，如此之多的黑客组件表明，它很可能是由一个资源雄厚、很可能受国家支持的黑客组织开发的。

谷歌追溯到Coruna的部分组件，发现其源自去年2月谷歌发现的一种黑客技术，当时谷歌将其归咎于一家“监控公司客户”。

五个月后，谷歌表示，更完整的Coruna版本再次出现，这次似乎是由一个疑似俄罗斯间谍组织发起的间谍活动，该组织将黑客代码隐藏在乌克兰网站常用的访问量统计组件中。

最终，谷歌再次发现Coruna被用于一次纯粹以牟利为目的的黑客活动中，该活动感染了中文加密货币和赌博网站，植入恶意软件窃取受害者的加密货币。

谷歌的报告中没有提及最初部署Coruna的监控公司“客户”究竟是哪家。但移动安全公司iVerify也分析了从受感染的中文网站获取的Coruna版本，并指出该代码很可能最初是为美国政府开发或购买的黑客工具包。

谷歌和iVerify都指出，Coruna包含多个组件，这些组件此前曾用于名为“三角测量”（Triangulation）黑客行动。该行动于2023年被发现，目标是俄罗斯网络安全公司卡巴斯基，俄罗斯政府声称这是美国国家安全局（NSA）所为。（美国政府未对俄罗斯的说法作出回应。）

iVerify联合创始人罗基·科尔指出，科鲁纳的代码似乎最初也是由讲英语的程序员编写的。“它非常复杂，耗资数百万美元开发，并且带有其他已被公开归咎于美国政府的模块的典型特征。”科尔告诉《连线》杂志。“根据代码显示的信息，这是我们首次看到极有可能是美国政府的工具失控并被我们的对手和网络犯罪集团利用的例子。”

移动版本的“永恒之蓝”

无论 Coruna 的来源如何，谷歌警告说，一个极具价值且罕见的黑客工具包似乎已经辗转于许多不太可能的人手中，任何试图攻击 iPhone 用户的黑客组织仍然可以采用或对其进行改造。

谷歌的报告指出：“这种漏洞扩散的机制尚不清楚，但这表明存在一个活跃的‘二手’0day漏洞交易市场。”报告指出，“除了这些已识别的漏洞之外，多个威胁组织现在还掌握了可重复使用，或修改后利用新发现漏洞的高级漏洞利用技术。”

iVerify公司的科尔指出，如果Coruna最初确实是为美国政府开发的工具，那么在当今世界，即使是为美国政府开发或出售的高度复杂的黑客工具也可能泄露给敌对势力，这无疑会引发人们对移动设备安全性的担忧。

“这就像是移动恶意软件版的‘永恒之蓝’事件。”科尔说道。“永恒之蓝”是一款从美国国家安全局窃取并于2017年泄露的Windows黑客工具包，它被用于发动灾难性的网络攻击，包括朝鲜的WannaCry蠕虫病毒和俄罗斯的NotPetya攻击。

谷歌指出，苹果已在其最新版本的移动操作系统iOS 26中修复了 Coruna 所利用的漏洞，因此其攻击技术目前仅确认对 iOS 13 至 17.2.1 有效。

该漏洞利用针对的是苹果 WebKit 浏览器框架中的漏洞，因此在这些较旧版本的 iOS 系统上使用 Safari 浏览器的用户会受到影响，但目前尚无针对 Chrome 浏览器的攻击技术。

谷歌还指出，Coruna 会检查 iOS 设备是否启用了苹果最严格的安全设置—— “锁定模式”，如果启用，则不会尝试攻击。

尽管存在这些局限性，iVerify 表示，Coruna 可能已经感染了数万部手机。该公司咨询了一家能够访问网络流量的合作伙伴，并统计了用于感染中文网站的 Coruna 网络犯罪版本命令与控制服务器的访问量。

iVerify 表示，这些连接的数量表明，仅在这次以盈利为目的的攻击活动中，可能就已经有大约 42,000 台设备被该工具包入侵。

Coruna 究竟还影响了多少其他受害者，包括那些访问过疑似俄罗斯间谍活动植入病毒网站的乌克兰人，目前尚不清楚。谷歌拒绝就其已发布的报告之外的内容发表评论。苹果公司也未立即对谷歌或iVerify的调查结果作出回应。

一位非常专业的作者

iVerify 对网络犯罪分子使用的 Coruna 版本进行了分析（该公司无法访问任何早期版本），发现其代码似乎已被篡改，用于在目标设备上植入恶意软件，旨在从加密钱包中窃取加密货币，并窃取照片，在某些情况下还会窃取电子邮件。

iVerify 首席产品官 Spencer Parker 表示，与 Coruna 工具包本身相比，这些新增代码“编写得非常糟糕”。他认为 Coruna 工具包本身设计精良，模块化程度高。

“我的天哪，这些东西写得非常专业。”Parker 谈到 Coruna 漏洞利用程序时说道，暗示较粗糙的恶意软件是后来获得该代码的网络犯罪分子添加的。

至于那些暗示Coruna源自美国政府工具包的代码模块，iVerify公司的科尔指出了一种替代解释：Coruna的代码与卡巴斯基指责美国黑客开发的“三角测量行动”（Operation Triangulation）恶意软件之间的重叠，可能是由于“三角测量行动”的组件在被发现后被重新利用所致。

但科尔认为这种可能性不大。他指出，Coruna的许多组件此前从未出现过，而且整个工具包似乎是由“单一作者”创建的。

“这个框架非常严谨。”科尔说道。他曾在美国国家安全局工作，但他指出自己离开政府部门已经十多年了，所以他的任何结论并非基于自己对美国黑客工具的过时知识。“它看起来像是整体编写的，而不是拼凑而成的。”

如果Coruna确实是一款失控的美国黑客工具包，那么它究竟是如何落入外国犯罪分子手中的，至今仍是个谜。

但科尔指出，存在着一个黑客交易行业，他们可能花费数千万美元购买0day漏洞黑客技术，然后将其转售用于间谍活动、网络犯罪或网络战。

值得注意的是，美国政府承包商Trenchant的高管彼得·威廉姆斯本月被判处七年监禁，罪名是他在2022年至2025年期间向俄罗斯0day漏洞黑客交易商“零号行动”（Operation Zero）出售黑客工具。

威廉姆斯的量刑备忘录指出，Trenchant曾向美国情报机构以及“五眼联盟”（美国、英国、澳大利亚、加拿大和新西兰）的其他英语国家政府出售黑客工具，但目前尚不清楚他具体出售了哪些工具，也不清楚这些工具针对的是哪些设备。

科尔说：“这些0day漏洞和恶意漏洞的中间商往往不择手段。他们会把漏洞卖给出价最高的人，然后从中牟利。很多中间商都没有独家经销权。这很可能就是这次事件的起因。”

科尔总结道：“其中一款工具最终落入了非西方国家的黑客组织手中，他们把它卖给了任何愿意出价的人。一切都已无法挽回。”

谷歌威胁情报官方博客：

https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit/

新闻链接：

https://www.wired.com/story/coruna-iphone-hacking-toolkit-us-government/

今日安全资讯速递

APT事件

Advanced Persistent Threat

SloppyLemming间谍活动利用BurrowShell后门和Rust RAT攻击巴基斯坦和孟加拉国

SloppyLemming Espionage Campaign Uses BurrowShell Backdoor and Rust RAT to Hit Pakistan and Bangladesh Targets

连线：一套美国政府开发的入侵iPhone系统的工具包落入外国间谍和犯罪分子手中

https://www.wired.com/story/coruna-iphone-hacking-toolkit-us-government/

RedAlert间谍软件活动利用战时恐慌情绪，通过木马应用程序发起攻击

https://www.infosecurity-magazine.com/news/redalert-israel-spyware-campaign/

以亚洲和欧洲各国政府为目标的网络间谍组织 https://blog.checkpoint.com/research/silver-dragon-china-nexus-cyber-espionage-group-targeting-governments-in-asia-and-europe/

伊朗黑客加大了对美国和以色列的网络攻击力度

https://www.ghacks.net/2026/03/03/iranian-hackers-ramp-up-cyberattacks-on-us-and-israel-after-recent-strikes/

伊朗威胁组织利用人工智能技术，以伊拉克政府官员为目标发起攻击

https://www.infosecurity-magazine.com/news/iran-cyber-threat-actor-iraq/

一般威胁事件

General Threat Incidents

Zerobot恶意软件利用Tenda命令注入漏洞部署恶意软件

Zerobot Malware Exploiting Tenda Command Injection Vulnerabilities to Deploy Malware

微软警告：一种利用Entra ID中的OAuth漏洞的新型网络钓鱼攻击正在逃避检测

Microsoft Warns of New Phishing Attack Exploiting OAuth in Entra ID to Evade Detection

恶意广告威胁组织“D-Shortiez”利用 WebKit 后退按钮劫持技术发起强制重定向浏览器攻击活动

Malvertising Threat Actor ‘D‑Shortiez’ Abuses WebKit Back‑Button Hijack in Forced‑Redirect Browser Campaign

Chrome扩展程序被劫持，用于传播恶意软件和窃取加密货币钱包

Chrome Extension Hijacked to Deliver Malware, Steal Crypto Wallets

黑客组织声称入侵美国国土安全部系统

Hacktivists Claim DHS Breach, Leak 6,600+ ICE Contractor Records

Cloudflare称，人工智能和深度伪造技术极大地增强了复杂的网络攻击

https://www.infosecurity-magazine.com/news/ai-deepfakes-supercharge/

Hackerbot-Claw 机器人通过 GitHub Actions CI/CD 配置错误攻击微软和 DataDog

Hackerbot-Claw Bot Attacks Microsoft and DataDog via GitHub Actions CI/CD Misconfiguration

新型 Massiv 恶意软件通过虚假 IPTV 应用攻击安卓银行用户

https://www.cysecurity.news/2026/03/new-massiv-malware-targets-android.html

黑客利用 CyberStrikeAI 工具入侵 Fortinet FortiGate 设备

Hackers Leveraged CyberStrikeAI Tool to Breach Fortinet FortiGate Devices

漏洞事件

Vulnerability Incidents

Chrome 安全漏洞使得 Gemini Live 助手能够进行间谍活动

Chrome security flaw enabled spying via Gemini Live assistant

Shannon：集成 Nmap 的自主 AI 工具可以发现并利用安全漏洞

Shannon: Autonomous AI Tool with Nmap Integration Can Uncover and Exploit Security Flaws

MS-Agent漏洞使AI代理易受远程劫持，从而获得完全系统控制权

MS-Agent Vulnerability Exposes AI Agents to Remote Hijacking, Granting Full System Control

Angular i18n 缺陷允许黑客通过严重 XSS 漏洞执行恶意代码

Angular i18n Flaw Lets Hackers Execute Malicious Code via Critical XSS Vulnerability

谷歌确认高通安卓组件中的 CVE-2026-21385 漏洞已被利用

Android’s March 2026 security patch fixes over 100 flaws, one under targeted exploitation

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《连线：一套美国政府开发的入侵iPhone的工具包落入外国间谍和犯罪分子手中》