Coruna攻擊套件肆虐全球 iPhone舊版系統成加密貨幣竊盜肥羊

Google威脅情報小組最新揭露的資安報告指出，代號Coruna（亦稱CryptoWaters）的iOS漏洞攻擊套件已從政府級監控工具演變為大規模加密貨幣竊取武器。這款攻擊套件由中國駭客組織UNC6691於2025年底至2026年初開始積極利用，鎖定全球使用iOS 13.0至17.2.1版本的iPhone與iPad用戶，透過偽造加密貨幣交易所進行「水坑攻擊」，在用戶毫無察覺的情況下植入惡意程式，全面竊取錢包助記詞、私鑰及敏感截圖。研究人員警告，這標誌著高階間諜技術已正式商品化，從針對政治人物的地緣情報蒐集，轉向對普通投資人的金融犯罪，其攻擊自動化程度與隱蔽性均達到頂尖水準。

從國家級監控到網路犯罪的商品化轉型

Coruna攻擊套件的發展軌跡呈現出罕見的工具民主化現象。2025年2月，這款造價數百萬美元的專業級漏洞套件最初由私人監視技術廠商開發，專門提供給政府客戶使用，針對政治人物、異議份子與記者等高價值目標執行精準監控任務。隨後在同年夏季，與俄羅斯政府存在關聯的駭客組織UNC6353接管該工具，將攻擊重心轉向烏克蘭公民，用以支援地緣政治情報作戰。

然而真正的轉折點發生在2025年底，當中國駭客組織UNC6691取得Coruna技術後，立即將其改造為大規模金融犯罪武器。這種轉變背後的驅動力極為明確：加密貨幣市場的龐大利潤遠超傳統間諜活動的收益。研究人員指出，駭客組織願意投入如此高昂的技術成本，正反映出數位資產背後的經濟誘因已足以重塑網路威脅的生態系。過去僅限於國家級行動的零點擊漏洞與底層系統滲透技術，如今被用於對普通用戶的財富掠奪，象徵著頂級駭客工具已從封閉的政府市場徹底流入開放的犯罪經濟體系。

技術架構解析23個漏洞構成的攻擊網絡

Coruna套件的技術複雜度在行動裝置攻擊領域堪稱頂尖。其內部整合23個獨立零日漏洞與已知漏洞，並構成5條完整的攻擊鏈，能夠針對不同iOS版本與設備型態自動選擇最有效的滲透路徑。這種模組化設計使其具備極高的適應性，即使蘋果修補部分漏洞，攻擊者仍能透過其他路徑維持攻擊能力。

受影響範圍涵蓋從iOS 13.0到iOS 17.2.1之間的所有版本，這意味著自2019年以來的絕大多數iPhone與iPad設備均存在風險。攻擊鏈的設計採用多階段載入機制，首先利用Safari瀏覽器的WebKit引擎漏洞突破沙箱限制，再透過核心權限提升漏洞取得系統最高控制權。整個過程完全自動化，從識別設備版本到完成權限提升平均僅需數秒，且全程不留明顯痕跡。

研究人員特別強調，Coruna的攻擊成功率極高，主因在於其採用了「漏洞組合技術」，將多個中低風險漏洞串聯成高風險攻擊路徑。這種技術迴避了單一零日漏洞被修補後的失效問題，使得防禦方必須同時修補所有關聯漏洞才能有效阻擋。此外，攻擊套件還具備反制虛擬機器與偵測環境的能力，能夠識別資安研究人員的分析環境並自動終止攻擊，大幅增加研究與防禦難度。

水坑攻擊與零點擊滲透的雙重隱蔽策略

Coruna的攻擊部署採用經典的水坑攻擊（Watering Hole Attack）策略，但針對加密貨幣用戶進行了精細化改造。駭客組織入侵或仿冒多個加密貨幣交易所與金融資訊網站，其中包含偽造的WEEX交易平台。這些惡意網站的外觀與功能幾乎與官方版本無異，甚至透過搜尋引擎優化（SEO）與付費廣告提升曝光度，誘使用戶自然造訪。

當iPhone用戶透過Safari瀏覽這些受污染的網頁時，背景腳本會立即執行設備指紋識別。系統會靜默檢查iOS版本號、設備型號與瀏覽器配置，一旦確認目標在攻擊範圍內，便自動觸發零點擊（Zero-click）漏洞滲透。整個過程完全不需要用戶點擊任何連結、下載檔案或執行額外操作，甚至在網頁完全載入前攻擊可能已經完成。

部分偽造網站採用更積極的社交工程手法，主動提示用戶「建議使用iOS設備瀏覽以獲得最佳體驗」，實際上是為了精準鎖定尚未升級系統的脆弱目標。這種誘導方式大幅提升了攻擊效率，將流量導向高價值受害者。由於攻擊利用的是瀏覽器引擎漏洞，用戶即使關閉網頁或清除瀏覽紀錄，惡意程式仍可能已經在系統底層建立持久性駐留。

PlasmaLoader惡意程式的全方位資產盜竊機制

成功滲透後，Coruna會植入名為PlasmaLoader的惡意程式，這是整個攻擊套件的核心竊盜模組。該程式具備高度智能化的數據採集能力，首先對設備進行全面資產盤點，主動搜尋特定關鍵字如「backup phrase」、「bank account」、「seed phrase」等，從簡訊、備忘錄、電子郵件快取與各類文件檔案中提取敏感資訊。

更為先進的是其影像辨識功能，PlasmaLoader會自動掃描用戶相簿中的所有截圖與照片，尋找存放錢包助記詞或私鑰的QR Code。研究人員發現，許多用戶習慣將助記詞截圖保存以備不時之需，這種行為在Coruna面前形同將保險箱鑰匙拍照存檔。惡意程式能夠識別多種格式的QR Code，並自動解析其中包含的私鑰資訊，完全不需要用戶主動輸入。

除靜態數據外，Coruna還針對市場上主流的加密貨幣錢包App進行動態攻擊，包括MetaMask、Uniswap、Trust Wallet等。透過記憶體傾印與執行期注入技術，駭客能夠提取這些應用程式在執行期處理的敏感資訊，甚至掌握錢包的完整控制權。已知案例中，受害者資金在訪問偽造網站後數分鐘至數小時內即遭轉移，由於攻擊鎖定系統底層權限，只要私鑰曾在手機內留下任何數位痕跡，包括曾複製到剪貼簿或透過AirDrop傳輸，都難逃這款諜報級工具的採集。

舊版iOS用戶的防護對策與資安守則

面對Coruna這類高階持續性威脅，iPhone用戶必須採取多層次防護策略。Google報告明確指出，Coruna對iOS 17.3或更高版本完全無效，蘋果已在該版本修補所有相關漏洞。然而資安團隊估計，全球仍有數百萬台設備因用戶疏忽、設備老舊或儲存空間不足而停留在危險版本，形成龐大的攻擊面。

對於無法升級至安全版本的舊款機型，啟用蘋果提供的鎖定模式（Lockdown Mode）是當前最有效的反制手段。該模式會大幅限制設備功能，封鎖大部分複雜的網頁腳本與訊息附件，雖然影響使用便利性，但能徹底阻斷Coruna的攻擊鏈。研究人員觀察到，PlasmaLoader在偵測到鎖定模式啟用後會自動停止運行並自我刪除，以避免暴露攻擊特徵。

資安專家強調，加密貨幣持有者應遵循基本生存守則。首要防護是使用硬體錢包（如Ledger或Trezor），讓私鑰永久處於離線狀態而不接觸任何iOS環境。其次應立即刪除相簿中所有包含助記詞或私鑰的截圖，改採離線實體方式備份，例如手抄在紙張並存放在保險箱。此外，避免在行動裝置上儲存任何與錢包相關的文字檔案，並定期檢查設備是否有異常耗電或網路流量。

儘管部分用戶嘗試使用無痕瀏覽模式規避攻擊，但研究顯示Coruna會刻意避開此模式以降低被發現機率，因此效果有限。在數位資產價值不斷攀升的今日，維持軟體更新、啟用進階防護功能與保持資安警覺性，已成為每位投資人的基本義務。資安團隊呼籲，任何涉及加密貨幣的操作都應在完全更新的設備上執行，並優先使用硬體錢池進行大額資產儲存。