入侵 iPhone 专偷加密币！攻击套件「Coruna」肆虐、旧版 iOS 恐沦肥羊

从国家级监控工具进化为「资产收割机」

根据 Google 威胁情报小组（GTIG）发布的深度报告，代号为 Coruna（亦称为 CryptoWaters）的 iOS 漏洞套件正对全球 iPhone 使用者构成严重威胁。这款工具的发展路径极具戏剧性，2025 年 2 月首次被发现时，是由私人监视厂商提供给政府客户使用，专门针对政治人物与异议人士进行精准监控。随后在 2025 年夏季，与俄罗斯政府有关联的骇客组织 UNC6353 掌控了该套件，将其用于针对乌克兰公民的地缘政治谍报活动。

随著技术外溢，这款耗资数百万美元开发的专业级工具已正式流入网路犯罪市场。在 2025 年底至 2026 年初，一个中国骇客组织 UNC6691 取得了该技术，并将攻击重心转向劫掠数位资产。这象征著高阶间谍工具已商品化，由针对特定目标的情报获取，转变为对普通加密货币持有者的大规模财富掠夺。研究人员指出，骇客愿意投入高昂技术成本，显示出加密资产背后的庞大利益足以驱使专业技术流向金融犯罪。

23 种漏洞连锁反应：隐藏在「水坑」后的静默渗透

Coruna 套件具备极高的自动化程度与隐蔽性，内部整合了 23 个独立漏洞，并构成 5 条完整的攻击链。其受影响范围广泛，涵盖 iOS 13.0 至 iOS 17.2.1 的所有 iPhone 与 iPad 设备。骇客采取了隐蔽的「水坑攻击（Watering Hole Attack）」，透过入侵或架设伪造的加密货币交易所与金融网站来诱捕受害者。这些站点如伪造的 WEEX 交易平台，外观与功能几乎与官方网站无异，甚至透过搜寻引擎优化与付费广告来增加曝光率。

当 iPhone 使用者访问这些受污染的网页时，背景脚本会立即执行设备识别。系统会静默检查 iOS 版本，若确认设备版本在攻击范围内，便会自动触发零点击（Zero-click）漏洞渗透，全程不需要使用者进行任何互动或点击下载连结。部分伪造网站甚至会主动提示使用者使用 iOS 设备浏览，宣称可获得更好体验，实际上是为了精准锁定尚未更新系统的脆弱目标。

连相簿内的截图都无法幸免

一旦 Coruna 成功取得设备权限，其恶意程式 PlasmaLoader 便会启动，对使用者的数位资产进行盘点。该程式拥有强大的扫描能力，会主动在设备中搜寻特定关键字，例如「backup phrase」、「bank account」或「seed phrase」，并从简讯与备忘录中提取关键数据。这款套件更具备影像辨识功能，能自动扫描使用者相簿中的截图，寻找存放钱包助记词或私钥的 QR Code 。

除静态数据采集外，Coruna 还针对市场上主流的加密货币钱包 App 如 MetaMask 与 Uniswap 进行攻击。骇客试图从这些应用中提取敏感资讯，以掌握钱包的完整控制权。在多宗已知案例中，受害者的资金在访问伪造网站后短时间内即遭转移。由于攻击锁定系统底层权限，只要私钥曾在手机内留下任何数位痕迹，都难逃这款谍报级工具的采集。

防御法则与生存指南？系统更新是安全关键

面对精密的高阶威胁，iPhone 使用者应采取明确的防护措施。 Google 报告指出，Coruna 对 iOS 17.3 或更高版本完全无效。虽然目前系统已推向更高版本，但仍有部分使用者因设备老旧或空间不足而未及时更新，因而暴露在风险中。对于无法升级至安全版本的旧款机型，开启苹果提供的「锁定模式（Lockdown Mode）」是有效的反制手段，恶意程式一旦侦测到此模式便会停止运行以规避追踪。

资安专家建议加密货币持有者应遵循基本生存守则。首选防护是使用硬体钱包（如 Ledger 或 Trezor），让私钥永久处于离线状态而不接触 iOS 环境。其次应立即删除相簿中所有包含助记词或私钥的截图，改采离线实体方式备份。

尽管 Coruna 会避开无痕浏览模式以降低被发现的机率，但这仅能作为临时应对。在数位资产价值日益攀升的今日，维持软体更新与资安警觉性已成为每位投资人的基本义务。