多家网络安全机构的最新研究显示，一支被怀疑至少部分为俄罗斯政府工作的黑客团队，近期针对乌克兰境内的 iPhone 用户发动攻击，利用一套此前未公开的新型黑客工具窃取个人数据，并具备窃取加密货币的功能。

新工具包“Darksword”曝光

谷歌以及安全公司 iVerify 和 Lookout 的研究人员对一轮面向乌克兰用户的新攻击活动进行了分析。相关攻击由一个被标记为“UNC6353”的团体实施。研究人员在调查被攻破的网站时发现，这轮攻击与本月早些时候披露的一次行动有关，但使用的是一套新的工具包，研究人员将其命名为“Darksword”。

研究人员指出，Darksword 的出现延续了此前类似 iPhone 黑客工具包的趋势，显示针对 iPhone 的高复杂度、隐蔽间谍软件并非个案。不过，现有证据显示 Darksword 目前仅针对乌克兰用户，这被视为在技术能力足以扩展至全球用户的情况下，攻击范围仍有所收缩。

与此前“Coruna”工具包的关联

今年 3 月初，谷歌曾披露一款名为“Coruna”的复杂 iPhone 黑客工具包。谷歌当时表示，该工具最初由一家监控技术供应商的政府客户使用，随后被俄罗斯间谍用于针对乌克兰人，最终又被中国网络犯罪分子用来窃取加密货币。科技媒体 TechCrunch 随后报道，Coruna 最初由美国防务承包商 L3Harris 开发，具体由其黑客与监控技术部门 Trenchant 负责。

据知情的前 L3Harris 员工透露，Coruna 起初是为西方政府设计，主要面向所谓“五眼联盟”成员国，包括澳大利亚、加拿大、新西兰、美国和英国。

研究人员表示，他们目前发现的这轮新攻击活动与此前使用 Coruna 的行动相关，但采用了更新的黑客工具，并利用了不同的漏洞。

快速窃取信息并具备加密货币盗取能力

根据 Lookout 和 iVerify 的分析，Darksword 工具包被设计用于窃取多类个人信息，包括密码、照片、WhatsApp、Telegram 和短信内容，以及浏览器历史记录。与部分持续监控型间谍软件不同，Darksword 并非长期驻留在设备上，而是在感染后迅速完成数据窃取并退出。

Lookout 在报告中写道，Darksword 在受害设备上的停留时间“可能仅为几分钟”，具体取决于其发现并窃取的数据量。iVerify 联合创始人 Rocky Cole 认为，攻击者最可能的目的在于快速掌握受害者的生活模式，这类信息并不需要长期监控即可获取，更接近一次“抢劫式”的行动。

研究人员还发现，Darksword 具备从流行钱包应用中窃取加密货币的功能。Lookout 在报告中指出，这一特征在疑似政府背景的黑客组织中相对少见，可能意味着相关威胁行为者存在经济动机，或者表明这一被认为与俄罗斯国家相关的行动已扩展至针对移动设备的金融盗窃领域。

不过，Cole 在接受 TechCrunch 采访时表示，目前尚无证据表明相关俄罗斯黑客组织确实将窃取加密货币作为重点目标，仅能确认恶意软件具备这一技术能力。

研究人员指向俄罗斯背景

Lookout 认为，Darksword 恶意软件在设计上具有专业性和模块化特征，便于后续添加新功能，显示其为专业团队开发。Cole 表示，将 Coruna 出售给俄罗斯政府相关黑客组织的人员“很可能”也向其提供了 Darksword。

关于 Darksword 背后的操作者，Cole 称“所有迹象都指向俄罗斯政府”。Lookout 则认为，这一行动与此前使用 Coruna 攻击乌克兰人的同一团体有关，该团体同样被怀疑获得俄罗斯政府支持。

Lookout 首席安全研究员 Justin Albrecht 在接受 TechCrunch 采访时表示，UNC6353 是一个“资金充足且关系密切的威胁行为者”，实施的行动既包括金融获利，也包括符合“俄罗斯情报需求”的间谍活动。他称，可以将 UNC6353 视为“俄罗斯犯罪代理”，其目标同时涵盖金融盗窃和情报收集。

攻击范围与目标选择

就受害者范围而言，Cole 表示，Darksword 被设计为感染访问特定乌克兰网站的任何用户，只要访问行为发生在乌克兰境内。因此，从技术实现方式看，这轮行动并非逐一锁定具体个人，而是针对特定地理位置和网站流量展开的广泛攻击。