文章总结： 本文介绍了名为Coruna的国家级iOS高级漏洞利用工具包，它能通过用户访问恶意网页实现零交互入侵，窃取隐私并完全控制设备。该工具包由商业监控软件供应商开发，最初为政府客户使用，后被间谍组织和犯罪团伙利用。受影响的iOS版本范围很广，从13.0到17.2.1。防护的关键在于立即升级至最新系统版本，如iOS17.3或针对旧设备的iOS15.8.7/16.7.15，并启用锁定模式等安全设置。 综合评分： 90 文章分类： 恶意软件,移动安全,威胁情报,漏洞分析,应急响应

Coruna：针对 iOS 的国家级/商业级 Web 驱动型漏洞利用工具包，注意看文章细节内容有不同收获

原创

快看哪个胖子 快看哪个胖子

开源情报技术研究院

2026年3月31日 03:49 北京

俺捏个真心提示，注意一定要看完整篇文章的细节，俺捏个不能描述太多的信息，有兴趣的可以详细看一下，或者后台讨论一下。

Coruna（开发者内部代号 CryptoWaters）是 2026 年 3 月由 Google 威胁情报组（GTIG）与移动安全厂商 iVerify 联合披露的高级 iOS 漏洞利用工具包。该工具包具备国家级工程质量，包含 5 条完整攻击链 和 23 个独立漏洞，主要针对 WebKit（Safari 渲染引擎）和 iOS 内核。

其最显著特征为零交互（zero-click / zero-interaction）Web 驱动入侵：用户仅需访问受感染网页（无需点击、下载或任何授权），即可触发水坑攻击（Watering Hole），实现静默越狱与设备完全控制。该工具最初由商业监控/间谍软件供应商开发并提供给政府客户，随后发生显著扩散，已被俄罗斯间谍组织 UNC6353 及据说是X国背景金融犯罪团伙 实际部署，影响全球数万台 iPhone。

本报告全面汇总 Coruna 的技术原理、影响范围、攻击流程、威胁起源与扩散路径、Trenchant 历史项目详情、防护建议及关键时间线，旨在为安全研究人员、企业安全团队及 iPhone 用户提供权威参考。及时升级至最新 iOS 版本是唯一彻底防护手段。

一、简要与技术原理

Coruna 是针对 iOS 13.0 至 iOS 17.2.1 版本的高级漏洞利用框架，由 Google GTIG 与 iVerify 于 2026 年 3 月 3 日同步公开技术细节。该工具包工程复杂度极高，融合了大量非公开零日漏洞利用技术与现代缓解措施绕过机制。

核心技术特点：

• 攻击入口

  ：纯 Web 驱动，无需任何用户交互。

• 漏洞构成

  ：5 条完整攻击链 + 23 个独立漏洞，主要覆盖 WebKit 远程代码执行（RCE）和 iOS 内核本地权限提升（LPE）。

• 防护绕过

  ：成功突破 Pointer Authentication Code (PAC)、代码签名、沙箱限制、JIT 编译器保护等 iOS 现代安全机制。

• 攻击模式

  ：采用水坑攻击策略，在合法高流量网站植入恶意 JavaScript/HTML 代码，或搭建专用钓鱼站点。

• 持久化能力

  ：实现静默安装间谍软件、后门，支持长期数据窃取与远程控制。

该工具包的代码质量和模块化设计被评估为“国家级/商业级”，远超普通犯罪团伙能力，最初定位为政府级监视工具。

二、影响范围

• 受影响 iOS 版本

  ：iOS 13.0（2019 年发布）至 iOS 17.2.1（2023 年 12 月发布）。

• 受影响设备

  ： iPhone 6s / 6s Plus、iPhone 7 / 7 Plus、iPhone SE（第一代）、iPhone 8 / 8 Plus、iPhone X、iPhone XR、iPhone XS / XS Max，以及 iPhone 11 系列至 iPhone 14 系列中未升级至 iOS 17.3 或更高版本的所有机型。

• 已修复版本

  （Apple 官方补丁）：

• iOS 17.3 及所有后续版本（2023–2024 年期间已逐步修复核心漏洞）。

• 针对无法升级的老旧设备，Apple 于 2026 年 3 月中旬 专门推送 iOS 15.8.7 和 iOS 16.7.15 安全更新，全面封堵 Coruna 相关漏洞链。

全球已确认受影响设备规模约数万台，主要集中在未及时更新的企业与个人用户群体。

三、攻击流程（Web → iPhone 完整链路）

1. 投递阶段

   ：攻击者通过合法网站植入恶意代码，或搭建高仿真钓鱼站点。

2. 探测阶段

   ：恶意网页利用 JavaScript 自动采集目标设备的 User-Agent、iOS 版本、机型等信息，动态匹配最优攻击链。

3. 利用阶段

   ：

• 第一阶段：WebKit RCE 漏洞获取浏览器进程权限。
• 第二阶段：内核提权漏洞完成沙箱逃逸与 PAC 绕过。
• 第三阶段：最终突破代码签名限制，实现 root 级访问。

1. 植入阶段

   ：静默部署间谍软件/木马，支持文件窃取、键盘记录、屏幕截取、位置跟踪等功能。

2. 外联与持久化阶段

   ：窃取敏感数据（Apple ID 密码、短信、通讯录、照片、位置信息、加密货币钱包助记词等），并实时回传至攻击者 C2 服务器。部分 UNC6691 变体还包含专用加密货币窃取模块。

整个过程完全静默，用户通常无任何感知。

四、威胁起源、扩散路径与实际危害

起源：Coruna 最初由一家商业监控/间谍软件供应商（commercial surveillance vendor）开发，并专供其政府客户使用。Google GTIG 最早于 2025 年 2 月观察到该工具包在高度针对性监控行动中使用。iVerify 分析指出，其技术框架与此前归因于美国政府相关威胁行为者的工具包存在明显代码相似性及演进关系。

技术指向：多家独立调查（TechCrunch 等）及前员工证词将 Coruna 起源指向 L3Harris Technologies 旗下的 Trenchant 部门。

Trenchant 历史项目详情（OSINT 完整汇总）

Trenchant 是 L3Harris 的专用网络攻击与监视技术部门，2018 年 7 月由 L3 Technologies 收购两家澳大利亚零日研究公司合并而成：

• Azimuth Security

  （2008 年创立，创始人 Mark Dowd 与 John McDonald）。

• Linchpin Labs

  （2007 年创立）。

主要能力：

• 专为美国政府及 Five Eyes 联盟（美、英、加、澳、新）开发 iOS/Android 零日利用框架、端点情报工具和高级监视能力。

• 命名风格

  ：鸟类主题（Condor、Terrorbird、Bluebird、Cassowary、Jacurutu 等），与 Coruna 部分组件命名高度一致。

• 知名历史项目

  ：

• Condor 项目

  （2015–2016 年）：Azimuth 向美国 FBI 出售 iPhone 解锁工具，用于 San Bernardino 恐怖袭击案中协助解锁锁定 iPhone。

• 与 Operation Triangulation 关联

  ：Coruna 中的 Photon、Gallium 等 exploit 与 2023 年 Kaspersky 披露的针对俄罗斯用户的零点击 iMessage 攻击存在明显代码演进关系。

重大泄露事件：

• 前 Trenchant 总经理 Peter Williams（澳大利亚信号局 ASD 前雇员）于 2022–2025 年窃取至少 8 个专有零日 exploit，并以加密货币形式出售给俄罗斯零日经纪商 Operation Zero（Matrix LLC），获利约 130 万美元。
• 2025 年 10 月认罪，2026 年 2 月被美国法院判处 87 个月监禁，并没收全部赃款。该案直接导致美国财政部对相关俄罗斯实体实施制裁。

扩散路径（2025 年全程追踪）：

• 2025 年 2 月：商业监控厂商政府客户用于精准行动。
• 2025 年 6 月：疑似俄罗斯间谍组织 UNC6353 部署于针对乌克兰用户的水坑攻击。
• 2025 年 10 月起：流入某国背景金融犯罪团伙 ，用于大规模加密货币盗窃（假冒赌博/加密货币网站投递）。
• 这是公开记录中首例 iOS 平台大规模（mass-scale）漏洞利用案例。

实际危害：

• 设备完全接管
• 隐私数据全面泄露（短信、照片、位置、通讯录）
• 金融资产盗窃（加密货币助记词等）
• 身份冒用与长期监视
• 已影响全球约数万台 iPhone

五、防护建议（分层防御策略）

1. 系统更新（最高优先级）

   设置 → 通用 → 软件更新，立即安装最新版本。 推荐：iOS 17.3+；老设备必须安装 iOS 15.8.7 / 16.7.15。

2. 浏览器安全

   仅使用 Safari；开启“阻止跨站跟踪”“隐藏 IP 地址”等高级隐私保护。

3. 系统级防护

   启用锁定模式（Lockdown Mode）（设置 → 隐私与安全性 → 锁定模式）；禁止越狱、安装未签名 App、点击不明链接。

4. 应急检测与响应

   检查陌生 App、异常流量；使用 iVerify 等工具扫描 IOC；定期修改 Apple ID 及金融账户密码，并强制开启两步验证（2FA）。

六、关键时间线

• 2025 年 2 月

  ：Google GTIG 首次发现 Coruna 用于商业监控厂商政府客户的针对性行动。

• 2025 年 6 月

  ：UNC6353 部署针对乌克兰的水坑攻击。

• 2025 年 10 月

  ：U****** 用于大规模加密货币盗窃。

• 2026 年 3 月 3 日

  ：Google GTIG 与 iVerify 同步公开完整技术报告。

• 2026 年 3 月中旬

  ：Apple 发布 iOS 15.8.7 / 16.7.15 补丁，全面封堵 Coruna 漏洞。

七、总结与建议

Coruna 是近年来针对 iOS 平台最复杂、最具破坏力的 Web 驱动型漏洞利用工具包之一，充分体现了高端间谍能力从商业/政府承包商生态向国家行为者和金融犯罪团伙快速“二手”扩散的风险。该事件再次证明：即使在 Apple 封闭生态中，老版本 iOS 设备仍面临高级持久性威胁（APT）与犯罪团伙的双重挑战。

重要建议：所有 iPhone 用户立即检查系统版本并完成更新。同时，企业安全团队应将 Coruna 相关 IOC 纳入威胁情报库，并对高价值目标用户开展专项排查。

参考来源：

• Google Threat Intelligence Group 官方报告（2026.03.03）

• iVerify 技术分析报告（2026.03.03）

• Apple 安全更新公告（2026.03 中旬）

• TechCrunch、Reuters、DOJ 公告

  IOC的信息太多，发这里容易被封….防止误点俺捏个打个码啦

  

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：开源情报技术研究院 快看哪个胖子 快看哪个胖子《Coruna：针对 iOS 的国家级/商业级 Web 驱动型漏洞利用工具包，注意看文章细节内容有不同收获》