安全研究人员近期披露,一系列针对全球苹果用户的网络攻击正在使用名为 Coruna 和 DarkSword 的高级黑客工具包。相关攻击目标为 iPhone 和 iPad 用户,攻击者包括政府间谍及网络犯罪分子,目的在于窃取设备中的各类敏感数据。
与 iPhone、iPad 用户相关的大规模攻击被认为较为罕见。研究人员称,过去十年中,此类行动的已知先例主要集中在针对中国维吾尔族穆斯林和香港民众的攻击上。
目前,这些工具中的部分组件已在网络上泄露。研究人员警告,运行过时软件的 iPhone 和 iPad 可能因此面临被远程入侵、数据遭窃的风险,潜在影响范围或涉及数以亿计的设备。
Coruna 与 DarkSword 的功能与攻击范围
据介绍,Coruna 和 DarkSword 均为针对苹果移动设备的复杂攻击工具包,内含多种漏洞利用代码,可在受害者无感知的情况下入侵设备,窃取消息、浏览器数据、位置历史以及加密货币等信息。
发现这些工具的安全团队表示,Coruna 利用的漏洞可攻击运行 iOS 13 至 2023 年 12 月发布的 iOS 17.2.1 的 iPhone 和 iPad。
DarkSword 所包含的漏洞利用则针对更新一代的系统版本,被指可攻击运行 iOS 18.4 以及 2025 年 9 月发布的 iOS 18.7 的设备。谷歌安全研究人员目前正在分析相关代码。
研究人员指出,对公众而言,DarkSword 的现实威胁更为紧迫。部分 DarkSword 代码已被不明人士泄露并上传至代码托管平台 GitHub,任何人都可以下载并据此构建攻击,尤其是针对仍在运行旧版 iOS 的用户。
攻击方式:访问网站即可中招
研究人员称,这类攻击具有高度隐蔽性和广泛性。用户只要访问托管恶意代码的特定网站,即可能在毫无察觉的情况下遭到入侵。
在部分案例中,攻击者会控制原本合法的网站,将恶意代码植入其中。受害者仅通过正常访问这些网站,就可能触发漏洞利用。
一旦设备首次被感染,Coruna 和 DarkSword 会利用 iOS 中的多个安全漏洞,使攻击者几乎完全控制目标设备,并从中提取私人数据。随后,这些数据会被上传至由攻击者控制的远程服务器。
工具来源与流转路径
此前 TechCrunch 报道称,Coruna 工具包的至少部分组件最初由美国国防承包商 L3Harris 旗下的黑客与情报单位 Trenchant 开发。该单位向美国政府及其主要盟友提供漏洞利用工具。
安全公司卡巴斯基则将 Coruna 中的两项漏洞利用与代号为“Operation Triangulation”的复杂网络行动联系起来。该行动被描述为可能由政府主导,目标为俄罗斯境内的 iPhone 用户。
在 Trenchant 开发 Coruna 之后,这些漏洞利用工具如何流入其他行为体手中尚不清楚。研究人员认为,相关工具随后被俄罗斯间谍和中国网络犯罪分子获取,可能经由一个或多个在地下市场出售漏洞利用的中间人转手。
研究人员指出,Coruna 的流转过程显示,包括为美国秘密项目开发的高级黑客工具在内,一旦泄露,可能在全球范围内失控传播。
报道提及的一个历史案例是,2017 年美国国家安全局开发的一项远程入侵 Windows 计算机的漏洞利用工具在网络上泄露,随后被用于发动破坏性极强的 WannaCry 勒索软件攻击,波及全球数十万台计算机。
关于 DarkSword 的来源,目前信息更为有限。研究人员观察到,DarkSword 相关攻击活动的目标包括中国、马来西亚、土耳其、沙特阿拉伯和乌克兰的用户。但尚无公开信息显示该工具最初由谁开发、如何被不同黑客组织获取,或其代码如何最终泄露至公开网络。
DarkSword 代码如何泄露
泄露 DarkSword 代码者的身份及动机目前仍不明。
TechCrunch 称,其看到的相关工具主要由 HTML 和 JavaScript 编写,配置和自托管门槛相对较低,具备一定技术能力的个人即可据此搭建攻击环境。出于安全考虑,TechCrunch 未公开 GitHub 上的具体链接。
有研究人员在社交平台 X 上表示,已利用泄露的 DarkSword 组件成功在自有、运行易受攻击 iOS 版本的苹果设备上复现攻击过程。
移动安全公司 Lookout 首席研究员 Justin Albrecht 在接受 TechCrunch 采访时表示,DarkSword 目前“基本上是即插即用”。
GitHub 向 TechCrunch 表示,尚未删除泄露的相关代码,并称保留这些内容有助于安全研究。
GitHub 在线安全顾问 Jesse Geraci 表示,GitHub 的可接受使用政策禁止发布直接支持非法主动攻击或造成技术损害的恶意软件活动内容,但不会一概禁止可能被用于开发恶意软件或漏洞利用的源代码,因为此类代码的公开具有教育价值,并被认为为安全社区带来净收益。
设备是否面临 DarkSword 攻击风险
针对普通用户的风险问题,研究人员和厂商均强调及时更新系统的重要性。
苹果向 TechCrunch 表示,运行最新 iOS 15 至 iOS 26 版本的用户已受到保护。
安全公司 iVerify 则表示:“我们强烈建议升级至 iOS 18.7.6 或 iOS 26.3.1,这将缓解这些攻击链中所有已被利用的漏洞。”
根据苹果公开数据,近三分之一的 iPhone 和 iPad 用户尚未升级至最新的 iOS 26 软件。以全球超过 25 亿活跃设备计算,仍有数亿台设备可能处于易受攻击状态。
无法升级至 iOS 26 的用户
对于暂时无法或不愿升级至 iOS 26 的用户,苹果表示,启用“锁定模式”(Lockdown Mode)的设备也可阻止此次披露的特定攻击。锁定模式是 iOS 16 起提供的一项可选增强安全功能。
苹果称,锁定模式对记者、异见人士、人权活动者以及因身份或工作内容而认为自己可能成为攻击目标的用户尤其适用。
目前尚无公开证据显示攻击者成功绕过锁定模式。苹果向 TechCrunch 表示,尚未发现任何启用锁定模式的苹果设备遭受成功间谍软件攻击的案例,并称锁定模式曾阻止过至少一次针对人权捍卫者手机植入间谍软件的尝试。
(文中信息包括苹果关于启用锁定模式用户遭受攻击情况的最新表述。)
