2026-04-18 07:15:43 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 腾讯云安全还原Plasma团伙利用Coruna攻击iOS全过程。攻击链含8阶段，从水坑网站经WebKit漏洞、PAC绕过、沙箱逃逸到系统进程注入，全程零交互。Plasma框架含24个插件，核心窃取19款加密钱包助记词与私钥，兼有照片监控及短信蠕虫传播能力。建议用户尽快升级iOS防范此攻击。 综合评分： 92 文章分类： 威胁情报,漏洞分析,恶意软件,移动安全,逆向分析

cover_image

苹果紧急更新！腾讯云安全还原Plasma(烈焰)团伙攻击iOS过程

腾讯安全

2026年4月16日 18:49 广东

在小说阅读器读本章

去阅读

2026年4月16日，腾讯云安全团队捕获到iOS 漏洞完整攻击链样本，并发现在 iOS 高级漏洞利用工具包 Coruna 之上运行着一套名为 Plasma 的模块化恶意软件框架，其背后运营团伙以大规模窃取加密货币为核心目标，24 个功能插件覆盖 19 款主流钱包，攻击影响遍及全球，预估数十万台设备受到波及。以下为还原Plasma(烈焰)团伙攻击iOS过程。

一、事件背景

2026年3月，Google威胁情报组（GTIG）率先公开披露了一个名为Coruna的高级iOS漏洞利用工具包，随后移动安全公司iVerify也发布了独立分析报告。这是迄今为止被公开分析的最复杂的iOS攻击框架之一，包含23个独立漏洞和5条完整的漏洞利用链，覆盖iOS 13.0至iOS 17.2.1版本，跨越长达4年的系统版本。

Coruna是一个iOS漏洞利用攻击框架，负责突破iOS多层安全防护并将恶意代码植入系统进程，其中部分漏洞也曾出现在卡巴斯基发现的”三角测量”攻击活动中，表明高级漏洞利用技术在不同攻击者之间存在显著的复用和流通。结合2025年美国司法部披露的前西方情报机构关联人员向漏洞经纪人出售国家级iOS 0day工具的案件，Plasma所展现出的工程复杂度远超普通犯罪软件，其背后极有可能经历了国家级漏洞开发商→漏洞经纪人→犯罪团伙的流转路径。

通过对攻击链后续阶段的深入逆向分析，腾讯云安全团队（以下简称我们）发现在Coruna之上运行着一套完整的iOS恶意软件框架，代码中大量使用PL前缀和plasma标识符，我们据此将其命名为Plasma，背后运营团伙称为Plasma团伙（Google追踪编号UNC6691）。

该团伙的核心意图是大规模窃取加密货币资产，捕获的24个功能插件全部围绕这一目标：19个直接针对主流加密钱包窃取助记词和私钥，其余插件则从聊天记录、照片、备忘录中过滤提取与数字资产相关的敏感信息（如助记词截图、私钥备份、交易凭证），并通过短信蠕虫传播扩大感染规模。

该事件披露后引起全球广泛关注，以下为关键事件时间线：

| | | | — | — | | 日期 | 事件 | | 2026.03.03 | Google威胁情报组（GTIG）发布深度分析报告《Coruna：强大的iOS漏洞利用工具包的神秘之旅》，首次公开披露Coruna攻击框架，详细披露23个漏洞和5条完整利用链 | | 2026.03.04 | iVerify发布安全报告《Coruna：我们一直在追踪的国家级iOS漏洞利用工具包》，公开其独立追踪分析成果 | | 2026.03.11 | Apple紧急发布安全更新iOS 15.8.7和iOS 16.7.15，将此前仅在新版系统中修复的Coruna相关漏洞补丁向旧款设备覆盖 | | 2026.03.19 | Apple发布英文版安全指引文章《Update iOS to protect your iPhone from web attacks》，公开确认存在”针对过时版本iOS的基于Web的攻击”，建议iOS 13/14用户必须升级至iOS 15以获得保护 | | 2026.03.27 | Apple向运行iOS 17及更早版本的设备推送锁屏安全警告通知，警告”已发现针对过时iOS软件的攻击”，敦促用户立即安装关键更新 | | 2026.04.01 | Apple发布iOS 18.7.7，覆盖iPhone XS/XR等无法运行最新系统的机型 | | 2026.04.03 | 工信部网络安全威胁和漏洞信息共享平台（NVDB）发布《关于及时更新iOS特定版本防范漏洞攻击利用的风险提示》，指出”攻击者正利用针对苹果公司终端产品的漏洞利用工具实施网络攻击，可导致用户信息被窃取、设备系统被远程控制”，建议用户尽快通过升级版本和安装补丁修复漏洞 | | 2026.04.15 | Apple通过微信公众号发布中文版安全指引文章《更新iOS以保护你的iPhone免受网页攻击》，提醒中国用户尽快更新iOS |

二、持续跟踪分析与样本捕获

2026年3月Google GTIG和iVerify公开披露Coruna攻击框架后，我们基于公开的漏洞情报和威胁指标（IoC），在公网持续跟踪分析。通过对iOS漏洞水坑网站、DGA域名（Domain Generation Algorithm）和载荷分发机制的持续追踪，我们成功从多个活跃的攻击基础设施中捕获到Plasma团伙的完整攻击链样本，从水坑入口页面、Coruna漏洞利用代码（WebKit / PAC /沙箱逃逸）、载荷注入框架、PlasmaLoader加载器、PlasmaCore核心载荷，到最终的24个功能插件模块，覆盖攻击链全部8个阶段。

在狩猎过程中，我们从多个不同的攻击基础设施域名中完整抓取了Plasma攻击链的全部组件，每个攻击基础设施均包含完整的8阶段攻击组件。经反混淆、解密和逆向分析后，我们按攻击链阶段提取到以下组件：

三、漏洞影响范围及危害

一旦用户通过Safari浏览器访问被Plasma团伙控制的水坑网页，Coruna漏洞利用框架即可在用户毫无感知的情况下完成整个感染过程——无需点击任何链接、无需安装任何应用、无需任何用户交互。感染完成后，Plasma恶意软件将获得对设备的全面控制，持续窃取以下敏感数据。

3.1 加密货币资产窃取

这是Plasma团伙的首要攻击目标。框架内置了19个专用窃取插件，覆盖主流加密钱包应用：

目标钱包：MetaMask、Trust Wallet、imToken、TronLink、Coinbase Wallet、Bitget Wallet、Tonkeeper、Uniswap、Phantom、MyTonWallet、Exodus、Ronin Wallet、Krystal、Tonhub、TokenPocket、Coin98、Bitpie、Solflare、OKX
窃取内容：助记词（Seed Phrase）、私钥、钱包地址、账户余额、交易记录
攻击方式：当用户打开上述任一钱包应用时，恶意模块自动注入应用进程，实时截获钱包敏感数据并上传至攻击者服务器

3.2 照片与备忘录监控

照片监控：实时扫描用户相册，将符合OCR文字特征和二维码特征的照片进行上传
备忘录窃取：实时监控iOS备忘录应用，将新增的笔记内容进行上传
多语言关键词过滤：内置156个敏感关键词（覆盖简体中文、繁体中文、日语、韩语、英语），重点关注用户名、密码、私钥、助记词、银行卡、身份证等涉及资金安全和身份隐私的信息

3.3 通讯内容窃取

主流IM：窃取聊天记录、联系人信息、媒体文件等
短信/iMessage：窃取设备上的短信和iMessage内容，同时支持远程控制发送短信和iMessage

3.4 短信蠕虫传播

攻击者可远程控制被感染设备发送短信和iMessage，由C2服务器下发指令向指定的目标号码发送含恶意链接的消息
被发送的消息来自受害者本人号码，具有极高的可信度，可用于钓鱼攻击和蠕虫式传播，进一步扩大感染范围

3.5 设备信息与位置追踪

设备指纹：采集设备唯一标识（ECID）、序列号、iOS版本、已安装应用列表等信息，用于持续追踪被感染设备
应用列表上报：定期扫描并上报设备上安装的全部应用，用于确定后续攻击目标

3.6 持久化与隐蔽性

无感知运行：所有恶意组件伪装为系统进程运行，用户在设备界面上无法察觉任何异常
远程热更新：攻击者可远程更新恶意模块和攻击配置，无需重新感染即可扩展攻击能力

四、Coruna iOS漏洞攻击链

Plasma团伙的完整攻击过程分为8个阶段，前5个阶段由Coruna漏洞利用框架完成——从攻击入口到恶意代码植入手机系统的完整突破过程，后3个阶段由Plasma恶意软件接管——负责C2通信、功能调度和数据窃取。以下概述Coruna负责的前5个阶段。

4.1 水坑网站——攻击入口

攻击者将恶意代码植入到看似正常的网页中（即”水坑攻击”），当iPhone用户通过Safari浏览器访问这些页面时，攻击即自动触发。

水坑页面在执行攻击前会进行多层环境检测，确保只对真实的iPhone目标发起攻击：

设备筛选：识别访问设备的iOS版本和芯片架构，过滤掉Mac电脑等非目标设备
反分析检测：检测是否运行在安全研究人员的自动化爬虫、调试工具或隐私浏览模式下，若检测到则终止攻击
精准投递：通过环境检测后，根据设备的iOS版本从远程服务器动态加载对应的漏洞利用模块，不同版本的iPhone使用不同的攻击代码

4.2 WebKit 漏洞利用——突破浏览器

WebKit是Safari浏览器的核心渲染引擎，Coruna利用WebKit中的漏洞，在用户浏览网页时获得任意内存读写权限——这意味着攻击者能够读取和修改浏览器进程中的任何数据。

5条利用链：针对iOS 13.0至17.2.1共准备了5套不同的WebKit漏洞利用方案，精确匹配目标设备的iOS版本
架构检测：利用成功后，自动检测设备使用的是ARM64还是ARM64e芯片架构（A12及以上芯片使用ARM64e），据此选择后续攻击模块

4.3 PAC 绕过——突破硬件安全防线

从iPhone XS/XR（A12芯片）开始，Apple引入了PAC（指针认证码）硬件安全机制——对内存中的关键指针进行加密签名，防止攻击者篡改程序执行流程。Coruna为此准备了6套绕过方案：

新版本系统（iOS 16.6+）：Apple在新系统中加强了地址随机化保护，攻击者无法使用固定地址。Coruna改为在系统库中动态搜索可利用的代码片段（gadget），实时构建绕过路径
旧版本系统（iOS 15及更早）：使用预先计算好的固定地址直接绕过，速度更快

4.4 沙箱逃逸——突破系统隔离

iOS的沙箱机制将浏览器与系统其他部分严格隔离——即使攻击者控制了Safari进程，也无法访问系统文件、其他应用或内核。沙箱逃逸的目标就是打破这层隔离。

Coruna准备了2套沙箱逃逸模块，根据前一阶段PAC绕过的结果动态选择：

收集内核信息：通过信息泄露漏洞获取内核基址，绕过iOS的内核地址空间布局随机化（KASLR）保护
修改沙盒权限：直接修改当前进程的沙盒配置，移除访问限制
提升至内核权限：获取内核级代码执行能力，至此攻击者拥有与操作系统同等的最高权限

沙箱逃逸成功后，攻击者获得了：任意文件读写能力、进程注入能力、安装持久化后门的能力。

4.5 载荷注入框架——植入恶意代码

这是攻击链从浏览器环境真正侵入手机系统的关键阶段。该框架负责将后门程序（PlasmaLoader）植入到iOS系统进程中。

广泛的版本适配：准备了19套载荷注入组件，覆盖iOS 13至17.2.1的ARM64/ARM64e全部架构组合
三层分级载荷加密体系：使用ChaCha20流密码算法，按攻击链层级设置三层独立密钥——主密钥用于解密多平台载荷注入框架列表，文件密钥用于解密各载荷注入框架组件，模块密钥用于解密后续阶段的PlasmaCore及功能插件载荷文件。层层递进的加密设计极大增加了安全研究人员的分析难度
注入系统守护进程：将恶意代码注入到powerd（电源管理）或locationd（位置服务）等系统守护进程中，系统重启则后门失效
反分析能力：内置虚拟化环境检测（如Corellium云真机检测）、设备指纹采集和Safari浏览记录清理，阻碍安全分析并消除攻击痕迹

完成载荷注入后，Coruna漏洞利用框架的使命结束，攻击已从浏览器沙箱完全转移到系统层面。后续的PlasmaLoader、PlasmaCore和功能插件将在系统权限下持续运行，实施前文所述的各类数据窃取行为。

五、PlasmaLoader 后门分析

PlasmaLoader是载荷注入框架植入到iOS系统进程中的核心后门加载器，在攻击链中承担从”系统驻留”到”功能部署”的关键过渡角色——负责建立与C2服务器的通信通道、下载核心载荷CorePayload并注入到系统进程中，是整个后续攻击活动的起点。

5.1 Plasma 命名由来

如第一章所述，该恶意软件家族在代码中留下了清晰的自命名标识——所有核心类均使用PL前缀（共24个核心模块），进程间通信信道使用plasma标识符。据此，我们将第一阶段加载器命名为PlasmaLoader，第二阶段核心载荷命名为PlasmaCore（即CorePayload）。

5.2 双入口架构

PlasmaLoader采用双入口点设计，分离初始化与持久化运行两个阶段：

_startx（初始化入口）：负责环境准备——校验漏洞利用接口版本、通过文件锁（/tmp/pl.sp.exec.guard.lock）防止多实例冲突、创建核心管理器单例，并选择注入目标进程（优先locationd，备选powerd）
_startp（主循环入口）：负责持久化运行——每秒轮询检测/tmp/目录下的控制文件，支持C2远程下发的热升级（upgrade.dylib）、重启（relaunch）、卸载（uninstall）和停止（stop）四种控制指令

此外，PlasmaLoader在加载阶段（_startx执行前）还会通过17个初始化函数完成ObjC类注册和全局状态初始化，伪装进程名为系统服务powerd.bundle/powerd，并进行地理位置检测以确定是否执行后续攻击。

5.3 DGA 域名通信

PlasmaLoader使用域名生成算法（DGA）生成512个.xyz随机域名作为C2通信地址，通过硬编码种子确保恶意软件与攻击者使用相同的域名列表。域名验证流程为：优先HTTPS Ping测试，失败则降级为HTTP，找到可用域名后缓存使用。

这一机制使得攻击者可以批量注册域名池中的部分域名即可维持通信，即使部分域名被封锁，PlasmaLoader仍能自动切换到其他可用域名，显著提升了C2通信的抗封锁能力。

5.4 配置下载与CorePayload 部署

PlasmaLoader找到可用C2域名后，执行以下部署流程：

1.配置下载：从C2域名下载配置文件——这是一个经7-Zip加密压缩的配置包，使用硬编码密码解压后得到config.json

2.配置解析：从config.json中提取核心载荷的下载地址、SHA256哈希、目标进程，以及24个功能插件模块的Bundle ID和下载地址

3.载荷下载：根据配置从C2域名下载CorePayload.dylib，并通过SHA256校验确保完整性

4.进程注入：终止目标系统进程（powerd），等待系统自动重启该进程后，将CorePayload注入其中并调用_entry_main入口函数启动执行

5.5 心跳监控与热更新

PlasmaLoader在成功部署CorePayload后，并不退出，而是进入持久化监控状态：

心跳监控：采用双线程设计——接收线程监听IPC端口等待CorePayload的心跳信号，watchdog线程每5秒检查一次。若15秒内未收到心跳（连续3次超时），PlasmaLoader将自动执行恢复流程：终止目标进程→等待系统重启→重新注入CorePayload
热更新机制：每600秒（10分钟）检查一次C2配置变更，若检测到核心载荷或功能模块有更新版本，自动下载并重新注入，实现远程热更新而无需重新感染设备
忽略SSL证书错误：所有HTTPS通信均通过PLSSLBypassDelegate忽略SSL证书验证错误并继续通信，确保即使C2域名使用自签名或过期证书也不会中断连接

5.6 模块架构总览

PlasmaLoader内部共包含24个核心模块（420+个方法），按功能可分为六大类：

六、PlasmaCore 核心能力分析

PlasmaCore（即CorePayload）是PlasmaLoader部署到powerd系统进程中的核心载荷，在攻击链中扮演中枢协调者角色——向上接收PlasmaLoader的初始化配置，向下管理和调度全部24个功能插件的注入与执行，同时负责照片监控、备忘录窃取、应用列表收集和系统状态上报等持久化恶意行为。

6.1 架构定位与PlasmaLoader 对比

6.2 配置驱动的精准注入机制

PlasmaCore的核心设计理念是配置驱动的按需注入——不盲目扫描，而是通过SpringBoard监控模块实时感知用户行为，仅在目标应用启动时才触发注入。

注入流程：

1.应用感知：helion.dylib（SpringBoard专用注入模块）Hook了SBMainWorkspace的applicationProcessDidLaunch:和frontDisplayDidChange:方法，实时捕获应用启动和前台切换事件

2.目标匹配：提取应用Bundle ID，通过Mach IPC发送给PlasmaCore，PlasmaCore从config.json查找是否存在匹配的攻击模块

3.模块下载：命中目标后，从C2域名下载对应的.dylib攻击模块通过硬编码密码进行7-Zip解密压缩，SHA256校验完整性后缓存

4.进程注入：将攻击模块注入到目标应用进程，调用统一入口函数_plugin_main启动执行

6.3 数据窃取能力

PlasmaCore本身（不依赖插件）即具备四项持久化数据窃取能力：

1.照片监控：通过PLPhotoUploadContext增量扫描用户照片库，对每张照片执行QR Code检测（CIDetector）和OCR文本识别，再经PLTextAnalyzer进行多语言关键词过滤——内置156个敏感关键词，覆盖简体中文（33）、繁体中文（33）、日语（26）、韩语（26）和英语（38），涵盖助记词、私钥、密码、银行卡、身份证等金融和身份类词汇，将符合条件的照片批量上传到C2服务器。

2.备忘录窃取：直接读取iOS备忘录数据库NoteStore.sqlite（覆盖/var/mobile/Library/Notes/和App Group路径），执行增量SQL查询（按修改时间降序、排除已删除条目），内容超过1000字符自动截断，同样经156个关键词过滤后以JSON格式上报。

3.应用列表收集：PLAppDiscovery采用双重发现策略——文件系统扫描/var/containers/Bundle/Application/和LSApplicationWorkspace系统API枚举，提取每个应用的Bundle ID、名称、可执行文件名和版本号，通过C2端点上报，为后续精准注入提供目标列表。

4.系统状态上报：PLSystemStatusReporter收集设备信息（UDID、ECID、序列号等）、各监控模块健康状态和异常模块列表，上报到C2服务器。

6.4 插件模块列表

PlasmaCore通过config.json和springboard_entries配置管理共24个功能插件，覆盖加密货币钱包窃取、通讯劫持、系统监控和SpringBoard扩展四大类：

插件共性特征：

统一入口：所有插件使用_plugin_main作为入口函数
加密保护：7-Zip加密压缩+ SHA256完整性校验
权限提升：通过PluginBootstrap_PerformEscalation()请求no-sandbox、platform-application等权限绕过沙箱
攻击目标分布：加密货币钱包19个（79%）、通讯应用3个、系统组件1个、SpringBoard扩展2个

七、DGA 算法

Plasma恶意软件使用域名生成算法（Domain Generation Algorithm，DGA）动态生成大量伪随机域名作为C2通信地址。攻击者只需注册其中部分域名即可维持通信——即使安全厂商封锁了已知域名，恶意软件仍能自动切换到未被封锁的域名，显著提升了抗封锁能力。

7.1 核心算法机制

攻击链存在新旧两代DGA算法，核心均基于MurmurHash变种哈希函数，但伪随机数生成策略不同：

| | | | | — | — | — | | 特征 | 旧版本 | 新版本 | | 伪随机源 | C库random() | xorshift32 | | 域名长度 | 固定15字符 | 16-24字符动态长度 | | 域名后缀 | 单一.xyz | .com、.net、.org、.cc、.so、.online、.cfd、.site、.lol、.live、.store、.app、.icu、.info、.net共15种 | | www.前缀 | 无 | 有 |

两代算法均通过硬编码种子确保恶意软件与C2服务器生成一致的域名序列。种子按功能分为Deployment（载荷下载）和Reporting（数据回传）两个池，每个种子可生成512个域名。

7.2 种子提取与攻击归因

通过对PlasmaLoader、CorePayload等多批次样本的逆向分析，我们共提取到数十组DGA种子。值得注意的是，CorePayload组件的部分种子值为MD5哈希，经反查可还原为中国城市名拼音（chengdu、beijing、guangzhou、chongqi、shanghai等）相关词汇。

7.3 算法演进趋势

新版本在多个维度对抗安全检测：后缀从单一扩展到15种使域名更贴近正常网站，动态长度增加了模式匹配难度，www.前缀进一步伪装流量特征，伪随机算法从依赖系统库改为纯数学实现保证跨平台一致性。这一演进表明攻击者在持续迭代其基础设施对抗能力。

7.4 检测局限

DGA算法基于MurmurHash单向哈希，无法从已知域名反推种子，且种子空间巨大（任意字符串或32位十六进制值），暴力破解成本极高。这意味着在没有捕获实际样本的情况下，无法预生成域名列表进行主动防御，只能依赖样本逆向提取种子、DNS流量异常监控和威胁情报共享进行被动发现。

八、漏洞修复与防护建议

Coruna利用的漏洞实际上已在2023–2024年间陆续被Apple在新版iOS中修复，但大量仍在使用旧版系统的设备长期处于无保护状态。在Coruna被公开披露后，Apple于2026年3月11日紧急发布了iOS 15.8.7和iOS 16.7.15安全更新，将此前仅在新版系统中包含的安全补丁向下覆盖到无法升级到最新系统的旧设备：

iOS 15.8.7：适用于iPhone 6s（全系列）、iPhone 7（全系列）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）、iPod touch（第七代）
iOS 16.7.15：适用于iPhone 8、iPhone 8 Plus、iPhone X、iPad（第五代）、iPad Pro 9.7英寸、iPad Pro 12.9英寸（第一代）

随后Apple于2026年3月19日发布安全指引文章，公开确认”攻击者正利用恶意网页内容针对运行过时iOS版本的设备发起攻击，可能导致设备数据被盗”，并指出：

iOS 15至iOS 26：保持系统最新版本的用户已受到保护
iOS 13和iOS 14：必须升级至iOS 15才能获得保护，这些设备会收到”关键安全更新”的安装提醒
Safari安全浏览：iOS默认开启的Apple Safe Browsing功能可自动拦截已识别的恶意网址
锁定模式：对于无法更新系统的用户，建议开启”锁定模式”以获得额外防护

此外值得注意的是，Plasma恶意软件不具备持久化能力——它运行在系统进程的内存中，不会向设备写入永久后门，设备重启后恶意软件即失效。但如果用户未更新系统，再次访问恶意网页仍会被重新感染。

需要警惕的是，Coruna并非孤例。2026年3月18日，iVerify又披露了另一个名为DarkSword的iOS漏洞利用工具包，该工具包同样采用水坑攻击方式，影响iOS 18.4至iOS 18.6.2（iPhone XS到iPhone 16），具备窃取加密货币钱包、通讯记录、系统凭据等广泛的数据窃取能力，攻击目标涉及乌克兰、沙特阿拉伯、土耳其和马来西亚等多个国家。Apple已在iOS 26.1–26.3中修复了DarkSword利用的相关漏洞。从Coruna到DarkSword，针对iOS的高级漏洞利用工具包正在被越来越多地投入实战，可以预见仍有更多尚未被公开的同类攻击工具在野外活跃。

因此，建议所有iPhone用户立即检查并更新至最新可用的iOS版本，这是防范此类攻击最直接有效的措施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯安全《苹果紧急更新！腾讯云安全还原Plasma(烈焰)团伙攻击iOS过程》