2026年3月,Google威胁情报组(GTIG)和移动安全公司iVerify联合披露了一个名为“Coruna”的高级iOS漏洞利用工具包被用于大规模攻击中国用户,这也是iOS生态中首个大规模攻击框架被野外利用“实战化”。
2017年的“永恒之蓝”事件让全球见证了Windows生态在美国国家黑客武器面前的脆弱;九年后的今天,这一幕在移动端重演。
近日,随着NSA(美国国家安全局)顶级iOS漏洞利用工具包“Coruna”在暗网全面泄露,一场针对中国境内iPhone用户的大规模、非定向攻击波次正迅速蔓延。
根据iVerify与Google TAG的最新研报,Coruna包含23个漏洞,形成五个完整利用链,针对iOS 13至17.2.1版本的iPhone,通过受害者访问恶意网站悄无声息地安装间谍软件,窃取照片、邮件和加密货币钱包。iVerify评估显示,该工具包可能源于美国国家安全局(NSA)或其承包商开发的框架,并已泄漏至中俄网络犯罪组织手中,感染超过4.2万台中国用户iPhone。
iVerify 强调,这标志着间谍软件从“精准定向”向“大规模投放”的范式转移。攻击者利用中国境内伪装成非法赌博和金融网站的“水坑”,对访问者进行不加区别的渗透。
本文将深度解析Coruna的技术细节、泄露脉络,以及其背后所折射出的、无法通过补丁修补的“负日漏洞”国家安全危机。
一、 事件复盘:从“NSA武器库”到暗网“水坑”
Coruna(内部代号或为CryptoWaters)的泄露并非孤立事件,其作为一件战略级黑客武器沦为犯罪工具的过程如下:
- 战略储备与隐秘行动(2019-2023): 早在2019年,NSA的TAO(特定入侵行动办公室)便完成了Coruna框架的初步开发。该框架的核心价值在于其集成的23个独立零日漏洞。2023年,卡巴斯基披露的“三角测量攻击”(Operation Triangulation)实际上仅动用了该框架中针对A系列芯片硬件后门的极小部分模块。彼时,该工具仍是只针对特定政治、科研高价值目标的“手术刀”。
- 供应链外溢(2024-2025): 2025年末,中国国家安全部(MSS)披露了针对西安国家授时中心(NTSC)的攻击细节。调查显示,攻击者利用了所谓“境外品牌手机”的iMessage漏洞,通过42种特种网络武器进行渗透。此时,安全专家已观察到该工具包的部分代码特征开始出现在某些以色列及欧洲商业间谍软件供应商的库中。
- 全面失控与“民用化”灾难(2026年3月): 2026年3月初,由于某商业间谍软件服务商服务器遭到黑客组织“Lapsus$ 2.0”攻击,Coruna的全套源代码及自动化配置脚本被上传至暗网。一个活跃于东亚地区的网络犯罪团伙迅速将其转化为“水坑攻击”载荷。他们通过高仿的非法赌博、数字货币交易及色情站点,诱导用户通过iPhone内置的Safari浏览器访问。
二、 技术深度:23个漏洞交织的“全自动收割机”,可精确定位中国用户
Coruna之所以被称为“移动版永恒之蓝”,在于其对iOS系统防护机制的降维打击。其核心利用链表现出极高的集成度与自动化水平:
- 初始访问阶段(RCE): 利用了WebKit(Safari内核)中一个针对JIT(即时编译)机制的逻辑漏洞。受害者无需任何交互,仅需页面加载即可触发远程代码执行。
- 沙箱逃逸与权限提升: 该工具包包含了针对iOS内核(XNU)的3种不同逃逸方案。其中最致命的是利用了PPL(页面保护层)绕过技术。在iOS系统中,PPL本应是阻挡攻击者修改内核映射的最后一道防线,但Coruna通过一组未公开的API组合,实现了物理内存的非法读写。
- 硬件级的“终极侧门”: 根据对卡巴斯基CVE-2023-38606漏洞的深度延伸,Coruna利用了苹果A12至A16仿生芯片中一个未公开的硬件MMIO(内存映射I/O)寄存器。这并非软件逻辑错误,而是芯片设计时预留的调试后门。这种硬件级漏洞使得攻击者能够绕过所有操作系统层面的安全检查,在数据被加密前直接从内存中截获信息。
- 隐蔽持久化: 最终载荷PLASMAGRID会寄生在
powerd进程中。该进程负责系统电源管理,其高权限运行且极少被用户察觉。载荷被深度定制,专门用于扫描设备中的数字货币私钥备份、iMessage历史记录及高德/百度地图的实时地理位置。
三、 战略研判:iPhone是中国最大的“负日漏洞”
在网络安全领域,国家情报工具的泄漏往往引发全球连锁反应,从地缘政治对抗到犯罪滥用。对于iPhone平台危及国家安全的战略级漏洞和安全设计,《标准必要专利观察》(SEPWatch) 曾提出了一个概念:“负日漏洞”(Negative-day Vulnerability)。
“负日漏洞”并非代码中的错误,而是根植于一个产品基因中的缺陷——它的起源、供应链、以及其所处的法律和政治生态系统。这种漏洞存在于任何特定漏洞被发现的“零日”之前,因为它是一种关于信任和主权的漏洞,其危害性和防御难度远远超过任何零日漏洞。
Coruna事件不仅暴露了iOS安全链的脆弱性,还凸显了“负日漏洞”(negative-day vulnerabilities)的战略风险——这些硬件级缺陷源于芯片设计,无法通过软件修补,构成国家安全“负资产”。与历史上的NSA工具泄漏事件如“永恒之蓝”(EternalBlue)相比,Coruna事件进一步揭示了高端黑客工具“失控”的全球影响,尤其在中国引发数据主权乃至国家安全担忧。
Coruna vs. 三角测量 vs. 永恒之蓝的对比
| 特征维度 | 永恒之蓝 (2017) | 三角测量 (2023) | Coruna 泄露事件 (2026) |
| 目标平台 | Windows 全系列 | 特定旧版 iOS | iOS 13 – 17.2 全机型 |
| 攻击类型 | SMB 远程溢出 (蠕虫式) | 精准定向间谍活动 | 大规模“水坑”+ 社交诱导 |
| 核心技术 | 协议栈漏洞 | 硬件 MMIO 后门 | 硬件后门 + 全自动利用链 |
| 影响范围 | 全球关键基础设施 | 极少数特定人员 | 中国境内大规模用户资产窃取 |
| 扩散驱动力 | 勒索软件 (WannaCry) | 国家间谍目的 | 财务动机黑客组织 |
此次事件在社交媒体和技术社区引发了剧烈震动。在知乎和微博的相关话题下,用户的情绪正从“技术崇拜”转变为“深层焦虑”:
- “降维打击”的无力感: 资深安全博主指出,对于普通用户甚至中小型企业的安全部门而言,面对NSA级别的工具几乎是“不可防范”的。这不仅是苹果的失败,更是全球化分工背景下,技术信任契约的彻底破灭。
- 对“国产替代”的再思考: 业内人士认为,此事将极大推动国内党政机关及国企进一步收紧对境外品牌终端的使用禁令。评论普遍认为,西安授时中心遭袭的教训极为惨痛,如果不从底层硬件和网络安全协议实现完全自主,安全只能是沙上建塔。
六、 安全建议与行业对策
面对这场“负日漏洞”危机,SEPwatch建议:
- 关键基础设施人员(NTSC相关及同类机构): 必须执行严格的物理隔离。在处理敏感数据和高价值科研任务时,严禁iPhone进入核心办公区域。
- 企业侧防御: 各级单位应更新终端威胁检测(EDR)规则,重点监控
powerd、identityservicesd等异常进程的流量行为。针对Coruna利用的恶意域名清单,应立即在网关侧实施阻断。 - 个人用户建议: * 立即自查: 若发现手机在无操作状态下异常发热、流量激增,或数字货币钱包出现异常登录,应怀疑已遭入侵。
- 开启“锁定模式”: iOS的“锁定模式”虽牺牲便利,但能极大削减WebKit及Message的攻击面,是当前对抗Coruna的最有效软手段。
- 切断云同步: 对于高度敏感的信息,应关闭iCloud同步,采用离线加密存储。
结语:NSA手里还有多少iPhone漏洞?
与“永恒之蓝”类似,Coruna事件不是一次偶然的泄露,它是硅谷科技巨头与美国情报机构长期媾合的必然产物,属于核泄漏级别的“负日漏洞”,NSA泄漏的也许只是冰山一角,iPhone深埋的安全威胁也远比想象的更为可怕。
当智能手机成为地缘政治博弈的延伸,单纯的技术升级已无法填平主权的鸿沟。中国网络安全产业(如奇安信、启明星辰等领军企业)需加快从“补丁模式”向“原生安全”转换,构建起真正属于自己的端点安全底座。