安全研究人员表示，一套能够攻破运行旧版软件的 iPhone 的强力黑客工具，已从政府客户手中流入网络犯罪分子之手，并在多起攻击行动中被反复使用。

谷歌于周二披露，其安全团队在 2025 年 2 月首次发现这一名为 Coruna 的漏洞利用工具包。当时，一家监控技术供应商试图代表某政府客户，利用间谍软件入侵一名目标用户的手机。随后数月，谷歌又在多起行动中发现同一工具包被重复使用。

根据谷歌的说法，Coruna 随后被一个俄罗斯间谍组织用于针对乌克兰用户的大规模行动，之后又被一名以经济利益为动机的中国黑客采用。目前尚不清楚这套工具如何从最初的政府用户手中泄露或传播。

谷歌安全研究人员警告称，围绕此类工具的“二手漏洞利用工具市场”正在形成，这些原本为政府客户开发的攻击工具被转售给以牟利为目的的黑客，以在漏洞被修补前尽可能延长和放大其利用价值。

移动安全公司 iVerify 表示，其已获得并对 Coruna 工具包进行了逆向工程。该公司在一篇博客文章中称，基于 Coruna 与此前被归因于美国的黑客工具之间的相似性，将这一漏洞利用工具包与美国政府联系起来。

iVerify 在文章中指出，使用范围越广，工具泄露的可能性就越大。该公司称，虽然掌握了一些证据，显示该工具可能源自美国政府泄露的框架，但这一点不应掩盖更广泛的事实：此类工具一旦存在，最终极有可能流入“野外”，被不良行为者不择手段地使用。

谷歌介绍，Coruna 工具包功能强大，能够通过访问包含漏洞利用代码的恶意网站来绕过 iPhone 的安全防护。例如，用户点击恶意链接后，即可能在不知情的情况下遭到入侵。这类攻击方式被称为“水坑攻击”。

据谷歌披露，Coruna 工具包依赖并串联了 23 个不同的漏洞，可通过五种不同路径入侵 iPhone。受影响的设备范围涵盖运行 iOS 13 至 2023 年 12 月发布的 iOS 17.2.1 版本的 iPhone 机型。

据最早报道此事的《连线》杂志消息，Coruna 工具包包含此前用于一项名为“Operation Triangulation”（三角定位行动）的黑客行动中的组件。俄罗斯网络安全公司卡巴斯基曾在 2023 年声称，美国政府试图入侵其员工持有的多部 iPhone。

研究人员指出，政府级黑客工具泄露虽属少见，但并非首次发生。2017 年，美国国家安全局发现，其开发的一套用于入侵全球 Windows 计算机的工具被盗。该 Windows 后门工具名为 EternalBlue，随后被公开，并被网络犯罪分子用于多起攻击，其中包括被指由朝鲜在 2017 年发动的 WannaCry 勒索软件攻击。

近期，TechCrunch 报道的另一宗案件也引发关注。美国国防承包商 L3Harris Trenchant 前负责人彼得·威廉姆斯（Peter Williams）因承认窃取并出售八个漏洞利用工具给一名与俄罗斯政府有联系的经纪人，被判处七年多监禁。

检方称，威廉姆斯出售的这些漏洞利用工具能够入侵全球“数百万台计算机和设备”，其中至少一个被转售给一名韩国经纪人。目前尚不清楚这些漏洞利用工具是否曾被披露给相关软件制造商，或是否已经被修补。