文章总结: 俄语黑客组织在地下论坛兜售名为ZeroDayc2的移动端零点击攻击框架,支持iOS13至26.5+和Android全版本。该工具通过单条链接实现从浏览器RCE到内核级控制的完整攻击链,具备钥匙串凭据提取、实时摄像头监控、金融资产窃取(包括加密货币钱包和银行数据)、持久化植入及多协议隐蔽通信能力。卖家提供24/7技术支持和当日漏洞更新服务,对个人隐私与企业安全构成严重威胁。 综合评分: 85 文章分类: 恶意软件,漏洞分析,移动安全,威胁情报,红队
“iPhone 26.5 Hacked”:俄语黑客组织兜售零点击移动端利用框架
原创
网空闲话 网空闲话
网空闲话plus
2026年6月28日 06:35 北京
在小说阅读器读本章
去阅读
2026年6月27日,某地下论坛用户“MrUnKnownRoot”(注册于2026年2月28日,消息数229条,反应分82)发布了一则题为“iPhone 26.5 Hacked”的兜售帖,公开叫卖名为“ZeroDay c2”的iOS/Android全链漏洞利用框架。帖子附有演示视频,声称该工具可对iOS 13至26.5+全版本(覆盖所有芯片)及所有Android版本实施零点击攻击,无需受害者任何交互。卖家同时提供了暗网购买链接及Telegram联系频道“Анонимная кибермафия”(匿名网络黑手党),表明背后可能为俄语系黑客组织。黑客提供多种服务模式,单月7500美元,半年15000美元,一年25000美元。
技术特性:从RCE到内核级的全链利用
根据帖子描述,ZeroDay c2的攻击链高度成熟,单条链接即可完成“浏览器RCE → 沙箱逃逸 → 内核读写 → 持久化植入”的完整攻击流程。具体技术路径包括:
初始突破: 利用WebKit类型混淆漏洞实现远程代码执行(RCE),通过dyld绕过Apple指针认证(PAC),再借助GPU进程IPC实现沙箱逃逸,最终经由mediaplaybackd权限提升及ICMPv6实现内核级读写。
数据窃取能力: 内置“Keychain Ripper”可提取iOS钥匙串全部凭据;“SMS-MMS Dumper”与“iMessage Sniffer”截取短信和iMessage;“Contact List Ripper”提取通讯录;针对即时通讯应用,可收割WhatsApp的ChatStorage.sqlite、Telegram的Axolotl.sqlite及Signal的数据库文件;“Full Filesystem Access”提供完整文件系统访问;浏览器历史、Cookies、已存口令无一遗漏;“Photo Vault Ripper”覆盖照片保险库中隐藏和已删除文件及其元数据;“Notes Database Dumper”“Calendar Database Dumper”“Apple Health Data Ripper”及“Google Fit Data Ripper”批量导出笔记、日历与健康数据;“Wi-Fi Networks and Plaintext Passwords Dumper”提取Wi-Fi网络及明文口令;“SIM-IMSI-IMEI-Call Logs Grabber”获取SIM卡及通话记录;“Find My iPhone Config Ripper”提取查找我的iPhone配置;“Installed Apps List”枚举已安装应用列表。
实时监控能力: “Real-Time Camera Feed Front and Back”可实时调用前后摄像头,“Live Microphone Audio Capture”激活麦克风录音,“GPS Real-Time Tracking”和“GPS Timeline History Dump”追踪GPS实时位置并回溯历史轨迹,“Clipboard Logger”记录剪贴板内容,“Notification Listener”监听通知,“Keylogger”记录按键,“Screen Recorder”录屏,实现全天候监控。
金融资产窃取: 这是该工具最突出的功能之一。支持提取MetaMask种子短语、Trust Wallet钥匙串、Phantom种子短语、Exodus私钥及“Any Wallet Seed Phrase Grabber”通用钱包种子短语;可劫持Coinbase、Binance、Kraken、Bybit等交易所会话令牌(“Exchange Session Hijacker”);“Transaction Monitor”监控交易,“Private Key Ripper”抽取私钥,“2FA-MFA Token Harvester”收割双因素认证令牌;“Biometric Bypass FaceID TouchID Fingerprint”绕过生物识别验证;“Banking Keychain Token Drain”和“Credit Card Data Extraction”从银行App和钥匙串中抽取令牌和信用卡数据,“Banking Transaction Interception”拦截银行交易;“Secure Enclave Sandbox Escape”和“Banking App Sandbox Escape”突破安全隔区与银行App沙箱保护。
持久化与隐蔽通信: 植入体具备“Reboot-Resistant Persistence Watchdog”重启后自动复活机制,通过HTTPS/DNS/ICMP/WebSocket多协议C2隧道通信,载荷经AES-256+ChaCha20双重加密,配备“AV-AMSI-EDR Obfuscation Packer”混淆打包器绕过反病毒和端点检测,并可“Auto-Clean Traces Module”自动清除设备和C2端操作痕迹。“Remote Kill Switch”远程终止开关为攻击者提供随时切断能力。
持续更新与定制服务: 卖家宣称提供“Live Exploit Updates”当日更新服务——iOS/Android补丁发布当天即逆向并更新利用链;同时提供“24/7 Dev Support”全天候开发支持,承诺“Emergency hotfix in ≤4 hours”应急热修复不超过4小时;通过“Shared Pipeline”内部共享机制,客户可在公开前获得内部漏洞发现和PAC绕过改进。“Custom Exploit Builder”定制漏洞构建器、“Payload Generator RCE Reverse Shell Bind Shell”载荷生成器及“Phishing Page Customizer HTML CSS JS”钓鱼页面定制器进一步降低了使用门槛。攻击载荷可通过SMS、邮件、QR码、WhatsApp、Telegram等任意URL分享渠道投递(“Exploit Porter”)。
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
网空闲话plus已关注
分享视频
,时长01:32
0/0
00:00/01:32
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
01:32
01:32
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
“iPhone 26.5 Hacked”:俄语黑客组织兜售零点击移动端利用框架
观看更多
转载
,
“iPhone 26.5 Hacked”:俄语黑客组织兜售零点击移动端利用框架
网空闲话plus已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
威胁评估
该框架是迄今公开黑市可见功能最全面的移动端攻击平台之一,将国家级APT能力商品化。其零点击特性使攻击者只需发送一条链接即可完全控制设备,个人照片、聊天记录、实时位置、银行和加密资产面临全量泄露风险;植入后可横向渗透内网,窃取商业机密,对金融和科技企业构成致命打击;攻击者还可批量控制关键人员设备,构成重大情报和网络安全威胁。
目前,该框架的买家身份、攻击目标规模及流通情况尚不明确,其存在本身已构成严峻警示。
参考资源
1、https://darknetarmy.io/threads/iphone-26-5-hacked
2、https://hackingtools.ch/marketplace
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《“iPhone 26.5 Hacked”:俄语黑客组织兜售零点击移动端利用框架》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论