iPhone漏洞套件Coruna橫行 舊版iOS用戶加密資產面臨竊取風險

Google威脅情報小組近日發布深度報告，揭露代號為Coruna的iOS漏洞攻擊套件正對全球iPhone用戶構成嚴重威脅。這款最初由私人監視廠商開發的國家級工具，在2025年底被中國駭客組織UNC6691取得後，已從地緣政治諜報用途轉變為大規模加密貨幣竊取武器。攻擊者透過偽造加密貨幣交易所網站發動「水坑攻擊」，利用23個漏洞構成的5條攻擊鏈，在無需用戶點擊的情況下入侵運行iOS 13.0至17.2.1的設備，並掃描相簿截圖、簡訊與備忘錄竊取錢包助記詞與私鑰，導致受害者數位資產在短時間內被轉移一空。

從國家監控到資產劫掠的演變軌跡

Coruna攻擊套件的發展歷程揭示了現代網路威脅的演變趨勢。2025年2月，這套工具首次進入資安研究人員視野時，其定位是私人監視廠商提供給政府客戶的國家級監控解決方案，專門針對政治人物、異議人士與記者等高價值目標執行精準監控任務。當時的攻擊模式講求隱蔽性與持續性，目標在於長期情報蒐集而非即時破壞。然而這種局面在2025年夏季出現轉折，與俄羅斯政府存在明確關聯的駭客組織UNC6353成功掌控該套件技術，並立即將其部署於針對烏克蘭公民的大規模地緣政治諜報活動中。

這次技術轉移標誌著Coruna首次脫離原始開發者的控制範圍，進入國家支持駭客組織的武器庫。UNC6353的運作模式顯示出俄羅斯網軍對於現成攻擊工具的倚賴程度日益加深，他們不再完全自主開發零日漏洞，而是轉向收購或竊取已成熟的商業監控工具。這種策略轉變大幅縮短了攻擊準備週期，同時增加了溯源難度。烏克蘭資安團隊在調查過程中發現，該組織針對政府官員、軍事人員與關鍵基礎設施工程師的攻擊成功率顯著提升，顯示Coruna的軍事級滲透能力確實達到預期效果。

真正引發全球加密貨幣社群恐慌的是第三階段的技術擴散。2025年底至2026年初，中國駭客組織UNC6691透過地下市場交易取得Coruna完整技術包，並立即將攻擊重心從政治情報轉向金融資產劫掠。這次轉變的商業邏輯相當清晰：相較於地緣政治情報的間接價值，直接竊取加密貨幣能夠立即變現，投資報酬率更高。研究人員分析指出，UNC6691的成員具備深厚的金融犯罪背景，他們精準鎖定數位資產持有者，特別是習慣將助記詞截圖保存的用戶族群。這種從間諜工具到犯罪商品的演變，凸顯了高階網路武器的商品化趨勢，當技術門檻降低後，任何具備足夠資金的犯罪集團都能發動過去僅有國家級駭客才能執行的精密攻擊。

水坑攻擊與零點擊滲透的技術解析

Coruna攻擊套件的技術架構展現出極高的工程水準與自動化能力。整個系統整合了23個獨立零日漏洞，並巧妙編排成5條完整的攻擊鏈，能夠針對不同iOS版本與硬體配置自動選擇最有效的滲透路徑。這種模組化設計使得攻擊成功率大幅提升，即使蘋果修補了部分漏洞，駭客仍能透過其他攻擊鏈維持威脅能力。受影響範圍涵蓋iOS 13.0至iOS 17.2.1的所有iPhone與iPad設備，這意味著過去五年間發布的絕大多數蘋果行動裝置都處於風險之中，特別是那些因儲存空間不足或習慣問題而遲遲未更新系統的用戶。

攻擊者採用的水坑攻擊（Watering Hole Attack）策略尤其值得警惕。他們並非主動發送釣魚郵件或訊息，而是直接入侵合法加密貨幣交易所的網站，或架設外觀幾可亂真的偽造平台。研究團隊發現多個偽造的WEEX交易平台，這些惡意網站不僅複製了官方介面設計，更透過搜尋引擎優化與付費廣告提升排名，使受害者在搜尋時難以分辨真假。部分偽造網站甚至會主動提示「建議使用iOS設備瀏覽以獲得最佳體驗」，這種看似貼心的設計實際上是精準篩選攻擊目標的陷阱，確保只有iPhone用戶會觸發後續的漏洞利用程式。

當受害者使用符合條件的iOS設備訪問這些受污染網頁時，背景中的JavaScript腳本會立即執行設備指紋識別。系統會在毫秒間判斷iOS版本、裝置型號、瀏覽器版本等關鍵參數，一旦確認版本在攻擊範圍內，便會自動觸發零點擊（Zero-click）漏洞滲透。整個過程完全不需要使用者點擊任何連結、下載任何檔案或執行任何操作，惡意程式會利用WebKit渲染引擎的記憶體損毀漏洞，結合核心權限提升漏洞，在神不知鬼不覺的情況下完成從瀏覽器沙箱逃逸到獲得系統最高權限的完整入侵鏈。這種攻擊方式的成功率極高，因為它消除了人性因素這個最不穩定的變數，用戶即使具備完善資安意識也難以防範。

PlasmaLoader的資產掃描與竊取機制

成功滲透設備後，Coruna會植入名為PlasmaLoader的惡意程式，這才是整個攻擊的真正目的。PlasmaLoader採用多階段載入機制，首先釋放一個極小的載入器到系統記憶體中，該載入器再從遠端伺服器下載主要功能模組，這種設計目的是規避靜態特徵偵測。主要模組啟動後，會立即對設備進行全面的數位資產盤點，其掃描範圍之廣、深度之深，完全體現了國家級監控工具的遺傳特徵。

PlasmaLoader的資料採集能力令人震驚。它會在背景中持續監控並掃描所有簡訊、iMessage、備忘錄、電子郵件草稿，尋找包含「seed phrase」、「backup phrase」、「private key」、「助記詞」、「私鑰」等關鍵字的內容。更危險的是其影像辨識與光學字元辨識（OCR）功能，該模組會自動分析用戶整個照片圖庫，特別針對截圖進行深度掃描。許多使用者習慣將錢包助記詞或私鑰QR Code截圖保存，認為只要不分享就安全無虞，但PlasmaLoader能精準識別這些圖像中的敏感資訊，即使照片已經封存多年也難逃一劫。研究人員在測試中發現，只要相簿中存在任何與加密貨幣相關的影像，被識別的機率高達97%。

針對已安裝的應用程式，PlasmaLoader會特別鎖定MetaMask、Uniswap、Trust Wallet、Coinbase Wallet等主流加密貨幣錢包。它會嘗試提取這些App的本地儲存資料、偏好設定檔案與快取資料庫，尋找未加密的私鑰備份或Session Token。在某些情況下，惡意程式甚至能劫持正在運行的錢包App，在即時交易過程中竄改收款地址，這種中間人攻擊模式讓用戶在自認安全的情況下主動將資金轉入駭客錢包。Google報告指出，已確認的多起案例中，受害者從訪問偽造網站到資產被完全轉移，平均時間僅需47分鐘，這種效率顯示整個攻擊鏈已高度自動化，從滲透、掃描到變現形成完整產業鏈。

舊版iOS用戶的風險評估與防禦策略

面對Coruna這類諜報級威脅，用戶必須認清系統版本就是安全邊界這個殘酷事實。Google報告明確指出，Coruna對iOS 17.3或更高版本完全無效，蘋果在該版本中修補了攻擊鏈依賴的核心漏洞。然而風險在於，截至2026年初的統計數據顯示，仍有約18%的iPhone用戶運行iOS 16或更早版本，這些設備或因儲存空間不足、或因用戶習慣、或因設備老舊無法升級，成為駭客眼中的肥羊。特別是iPhone 8、iPhone X等機型，雖然硬體性能仍可應付日常需求，但已無法安裝最新iOS版本，這些用戶面臨的風險尤為嚴峻。

對於無法升級至安全版本的用戶，蘋果提供的鎖定模式（Lockdown Mode）成為最後防線。這項原本設計給高風險族群（如異議人士、記者）的功能，在Coruna攻擊場景下展現出意想不到的效果。當PlasmaLoader偵測到設備處於鎖定模式時，會自動終止運行並刪除痕跡，因為駭客擔心這種特殊模式可能觸發額外的安全監控機制。啟用方式為「設定」→「隱私權與安全性」→「鎖定模式」，雖然會限制部分功能如即時預覽、FaceTime通話等，但對於持有大量數位資產的用戶而言，這種犧牲完全必要。

資安專家針對加密貨幣持有者提出生存守則三部曲：第一，立即升級至iOS 17.3以上版本，這是最根本的解決方案；第二，使用硬體錢包（Hardware Wallet）如Ledger或Trezor，讓私鑰永遠不觸及iOS環境，即使手機被入侵也無法取得關鍵資訊；第三，徹底清理數位足跡，刪除相簿中所有包含助記詞或私鑰的截圖，改用實體紙本備份並存放於保險箱。此外，專家特別警告，雖然Coruna會避開無痕瀏覽模式以降低被發現機率，但這僅能提供極有限的保護，絕不能作為主要防禦手段。在數位資產價值持續攀升的今日，維持軟體更新與資安警覺性已成為每位投資人的基本義務，任何疏忽都可能導致畢生積蓄化為烏有。