谷歌威胁情报组（GTIG）近日在报告中表示，其研究人员发现了一种专门针对苹果iPhone用户的新型漏洞工具，目标是窃取加密钱包的助记词等敏感信息。

据介绍，该工具由开发者命名为“Coruna”，可攻击运行iOS 13.0至17.2.1版本的设备。GTIG在报告中称，Coruna包含“五条完整的iOS漏洞链和共计23个漏洞”，其中包括部分此前未公开的安全漏洞。

GTIG表示，他们在2025年2月首次发现这一工具，并将其与疑似俄罗斯间谍组织针对乌克兰用户的攻击活动联系起来。随后，研究人员又在假冒中国加密相关网站的攻击中发现该工具被用于窃取加密资产。

GTIG指出，Coruna无法在最新版本的iOS系统上运行，并呼吁iPhone用户尽快将设备升级至最新软件版本。对于暂时无法升级的用户，GTIG建议启用苹果提供的“锁定模式”。苹果方面此前表示，该模式旨在防御复杂攻击。

通过假冒网站投放漏洞工具

GTIG在报告中称，2025年2月，他们首先发现部分与iOS漏洞相关的代码，当时一家监控公司的客户利用JavaScript对访问设备进行指纹识别，以便向特定目标投放相应的漏洞利用代码。

同年晚些时候，研究人员在多个被攻陷的乌克兰网站上发现了相同的JavaScript框架。GTIG表示，该框架“仅向特定地理位置的选定iPhone用户投放”漏洞利用。

随后在12月，GTIG在大量假冒中国金融相关网站上再次发现这一框架，其中包括一个伪装成加密交易所WEEX的网站。报告称，当用户使用iOS设备访问这些网站时，该框架会投放漏洞工具包，并在设备中搜寻与财务相关的信息。

根据GTIG的描述，Coruna会分析包含“助记词”“备份短语”或“银行账户”等关键词的文本内容，以定位潜在的加密钱包信息或其他敏感数据。该工具还会主动查找Uniswap、MetaMask等流行加密应用，以尝试提取加密资产或相关敏感信息。

工具来源及归因引发争议

关于Coruna的来源，GTIG并未在报告中披露最初使用该工具的监控公司客户身份。但移动安全公司iVerify对WIRED表示，该工具可能由美国政府开发或购入。

iVerify联合创始人Rocky Cole对WIRED称：“该工具高度复杂，开发耗资数百万美元，具有其他公开归因于美国政府模块的特征。”他还表示：“这是我们首次见到极有可能是美国政府工具——根据代码分析——失控并被对手及网络犯罪团伙使用的案例。”

不过，卡巴斯基的一名首席安全研究员则对The Register表示，网络安全公司在公开报告中尚未发现任何实际代码复用的证据，足以支持将Coruna与同一作者关联。上述表态显示，围绕该工具是否与美国情报相关，目前在安全行业内仍存在明显分歧。