一群先前未被記錄的名為「Coruna」的 23 個 iOS 漏洞利用程式已被多個威脅行為者用於有針對性的間諜活動和以經濟利益為目的的攻擊。Coruna 工具包包含五個完整的 iOS 漏洞鏈，其中最複雜的是利用非公開技術和緩解繞過措施，適用於 iOS 版本 13.0 至 17.2.1（2023 年 12 月發布）。

Google 威脅情報小組 (GTIG) 的研究人員於 2025 年 2 月首次觀察到與 Coruna 漏洞利用工具包相關的活動，該活動歸因於一家監控供應商的客戶。當時，研究人員獲得了 JavaScript 交付框架以及針對 CVE-2024-23222 的漏洞利用程序，CVE-2024-23222 是一個 WebKit 漏洞，允許在 iOS 17.2.1 上執行遠端程式碼。在 iOS 17.3 中修正了漏洞後，漏洞曾被用於零時差攻擊。

2025 年夏天，人們再次觀察到了同樣的混淆框架，當時疑似俄羅斯網路間諜追蹤到 UNC6353 被部署在水坑攻擊中，目標是訪問被入侵的烏克蘭網站的 iPhone 用戶，這些網站提供電子商務、工業設備和零售工具以及本地服務。2025 年末，該漏洞利用工具包出現在多個虛假的中國賭博和加密貨幣網站上。谷歌將此活動歸咎於以經濟利益為目的的中國網路犯罪組織 UNC6691。

Coruna漏洞利用工具包的功能

GTIG 分析師在 2025 年底取得了完整的漏洞利用工具包後發現，該工具包包含五條完整的漏洞鏈，使用了 23 個漏洞，其中包括：

✓  WebKit遠端程式碼執行

✓  指針認證碼 (PAC) 繞過

✓  沙盒逃脫

✓  核心權限提升

✓  PPL（頁面保護層）繞過

GTIG研究人員表示：這些漏洞利用程序包含大量文檔，包括用英語編寫的文檔字符串和註釋。其中最先進的漏洞利用程序使用了非公開的漏洞利用技術和緩解措施繞過方法。其中一些漏洞利用了在「三角測量行動」中首次發現的漏洞。該行動是卡巴斯基在 2023 年 6 月發現的，當時這家網路安全公司發現其網路上的幾部 iPhone 已被入侵。

谷歌已將分析 Coruna 漏洞利用工具包時識別出的所有網站和網域名稱新增至安全瀏覽功能中，並建議 iOS 用戶升級至最新版本。如果無法升級，建議啟用鎖定模式。

除了 Corona 漏洞利用工具包及其代號中包含的漏洞外，GTIG 的報告還包括透過加密貨幣相關網站分發的植入程式和模組以及攻擊基礎設施的入侵指標。

資料來源：https://www.bleepingcomputer.com/news/security/spyware-grade-coruna-ios-exploit-kit-now-used-in-crypto-theft-attacks/