文章总结： 美国政府关联的iPhone黑客工具包Coruna泄露，内含5个漏洞链共23个漏洞，波及iOS13至17.2.1版本设备数万台。溯源显示其高度专业且疑为NSA开发，被称为移动版的永恒之蓝。该工具现已被犯罪分子用于窃取加密货币等黑产活动。苹果已在iOS26修复漏洞，建议受影响用户立即升级系统并开启锁定模式以规避风险。 综合评分： 84 文章分类： 移动安全,威胁情报,漏洞分析,安全大事件,恶意软件

美国政府iPhone黑客工具包泄露，致数万用户设备被黑

原创

Owllntel Owllntel

猫头鹰OSINT

2026年3月4日 11:01 四川

一款高度复杂的iPhone劫持工具正在快速传播，已感染的设备数量可能已达数万部，甚至更多。种种线索表明，这款名为Coruna的黑客工具最初很可能是为美国政府开发的。

神秘的“Coruna”：溯源指向美国政府

据谷歌威胁情报小组称， Coruna是一款新型且功能强大的攻击工具包，专门针对运行iOS 13.0（2019年9月发布）至iOS 17.2.1（2023年12月发布）版本的苹果iPhone设备。该工具包包含了五个完整的iOS漏洞链，并总计23个漏洞。Coruna的核心技术价值在于其全面收集的iOS漏洞，其中最先进的漏洞利用技术采用了未公开的利用方法和规避措施。

有趣的是，谷歌早在2025年2月就发现了一位未具名的“监控供应商客户”使用Coruna，报告并未提及“客户”是谁。然而，移动安全公司 iVerify 在对从中国受感染网站获取的 Coruna 变体进行分析后大胆推测，这段代码的起点很可能是为美国政府开发或由其购买的黑客套件。

谷歌与 iVerify 均指出，Coruna 包含多个曾出现在 “三角测量”（Triangulation） 行动中的组件。该行动于 2023 年被发现针对俄罗斯网络安全巨头卡巴斯基（Kaspersky），当时俄罗斯政府明确指责这是美国国家安全局（NSA）的杰作。

iVerify 联合创始人罗基·科尔（Rocky Cole）指出，Coruna 的代码最初显然由英语母语的程序员编写。“它的复杂程度极高，开发成本耗资数百万美元，且具备此前被公开归因于美国政府的其他模块的典型特征”，“这是我们看到的第一个极具说服力的案例——从代码本身来看，这极有可能是美国政府的工具失去了控制，正被我们的对手和网络犯罪组织所利用。”

移动领域的“永恒之蓝”时刻

谷歌警告称，这一极其珍贵且罕见的黑客工具包似乎经历了一系列离奇的转手，目前已在野外流传。这意味着任何寻求攻击iPhone用户的黑客组织都可以对其进行直接采用或二次开发。

谷歌在报告中指出：“这种扩散是如何发生的尚不清楚，但这表明存在一个活跃的‘二手’零日漏洞交易市场。除了已发现的漏洞外，多个威胁行为者现在已经掌握了先进的攻击技术，他们可以针对新发现的漏洞对这些技术进行重用和修改。”

科尔强调，如果Coruna确实源自美国政府工具，这将引发人们对全球移动设备安全性的严重质疑。当为美国政府制造或出售给美国政府的高精密工具泄露给对手时，后果将是灾难性的。科尔将此比作“移动恶意软件的‘永恒之蓝’时刻”。“永恒之蓝”是此前从 NSA 窃取并于2017年泄露的Windows攻击工具，它直接导致了朝鲜的WannaCry勒索病毒和俄罗斯的NotPetya攻击等全球性灾难。

技术局限与波及范围

苹果公司已在最新的移动操作系统 iOS 26 中修复了 Coruna 利用的漏洞。据确认，该套件的攻击技术仅对 iOS 13 至 iOS 17.2.1 版本有效。它主要针对苹果浏览器框架 Webkit 中的漏洞，因此使用这些旧版本 iOS 的 Safari 用户极易受到攻击。目前尚未确认该工具包有针对 Chrome 用户的技术。

此外，谷歌指出 Coruna 具有一定的“警觉性”：它会检查 iOS 设备是否开启了苹果最严格的安全设置——“锁定模式”（Lockdown Mode），如果已开启，它则会放弃攻击尝试。

尽管存在这些限制，iVerify 称 Coruna 可能已感染了数万部手机。通过分析网络流量并统计连接到受感染中文网站的犯罪版 Coruna 远程控制服务器的次数，iVerify 估计，仅在这一波以盈利为目的的攻击活动中，就有约 4.2 万台设备可能已被黑客入侵。至于还有多少其他受害者（包括访问了疑似由俄罗斯间谍行动控制的受感染网站的乌克兰人）仍是一个未知数。

从“专业工具”到“劣质补丁”

在对犯罪版 Coruna 的分析中，iVerify 发现代码被后来的使用者进行了修改，增加了旨在从加密货币钱包中窃取资产、窃取照片以及在某些情况下窃取电子邮件的功能。

然而，iVerify 首席产品官斯宾塞·帕克（Spencer Parker）指出，与底层 Coruna 工具包极其洗练且模块化的专业设计相比，这些新增的功能显得“编写拙劣”。“天哪，这些东西写得非常专业，”帕克评价 Coruna 原有的攻击模块时说，这暗示了那些粗糙的恶意功能是后来获取代码的犯罪分子强行塞进去的。

针对“Coruna 只是借鉴了此前公开代码”的质疑，科尔予以了反驳。虽然它与俄罗斯指控美国的“三角测量”行动有重合，但科尔认为 Coruna 并非东拼西凑的产物。Coruna 中的许多组件此前从未露面，且整个工具包表现出高度的一致性，像是出自“同一位作者”之手。

“整个框架衔接得非常紧密，”曾在 NSA 工作过的科尔表示，“它看起来是作为一个整体编写的，而不是拼凑而成的。”

泄露的背后：零日漏洞黑市的兴起

如果Coruna确实是外泄的美国政府黑客工具，它是如何落入外国间谍和犯罪分子之手的仍然是个谜。科尔指出，零日漏洞经纪人可能在其中起到了关键作用——这些经纪人支付巨额费用购买零日漏洞技术，然后转售给间谍、网络犯罪分子或网络战争参与者。

一个典型案例是，美国政府承包商Trenchant的高管彼得·威廉姆斯（Peter Williams）因向俄罗斯零日漏洞经纪人“Operation Zero”出售黑客工具而被判处七年监禁。威廉姆斯的量刑备忘录显示，Trenchant曾向美国情报界以及“五眼联盟”的其他成员出售工具。

科尔总结道：“这些零日漏洞和攻击技术经纪人往往不择手段，他们把工具卖给出价最高的人，甚至会‘一鱼多吃’。很可能Coruna工具落入了非西方背景的经纪人手中，然后转售给任何愿意付钱的人。魔瓶里的精灵已经放出来了。”

参考信息：wired.com

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：猫头鹰OSINT Owllntel Owllntel《美国政府iPhone黑客工具包泄露，致数万用户设备被黑》