Coruna与DarkSword：iOS高端攻击武器扩散的威胁

概述

2026年3月，安全研究人员接连披露两款针对iOS设备的高级漏洞利用工具包（exploit kit）：3月3日左右由Google GTIG、iVerify和Lookout联合披露的Coruna，以及3月18日披露的DarkSword。这两款工具使用多个零日漏洞，均采用水坑攻击的方式，即通过恶意网站或被入侵的合法网站植入iframe，用户仅需访问即可触发零交互或极少交互的完整设备接管链，无需额外点击或下载。约3月23日，DarkSword的部分代码（HTML+JavaScript）被匿名上传至GitHub公开仓库，使其成为“即插即用”的攻击工具，任何具备基本技术能力的人均可自行部署。

Coruna和DarkSword这两款工具的出现是iOS零日武器从高级网络间谍工具向犯罪团伙快速扩散的典型案例，它们均超出了原本设计的使用范围，通过二手市场等渠道流经多个攻击团伙，导致被广泛滥用，对大量普通用户造成了严重的安全威胁。

攻击武器简介

Coruna包含5条完整iOS exploit链、共23个漏洞，针对iOS 13.0至17.2.1（2019-2023年版本）。攻击链从WebKit远程代码执行（RCE）开始，依次实现PAC绕过、沙箱逃逸、内核权限提升，最终注入后门（如PlasmaLoader/PLASMAGRID）。早期版本与2023年国外安全厂商披露的“Operation Triangulation”攻击行动的部分代码有复用迹象。

而DarkSword由纯JavaScript实现（无PPL/SPTM依赖），利用6个漏洞（包括CVE-2025-31277、CVE-2026-20700等零日漏洞），针对更新的iOS 18.4至18.7版本。采用“hit-and-run”（打完就跑）设计：快速窃取数据后清除痕迹。核心组件包括rce_loader.js和多个payload家族（GHOSTBLADE、GHOSTKNIFE、GHOSTSABER）。

这两款漏洞攻击武器可以允许攻击者获得近乎完整的设备控制权，包括读取Keychain密码、iCloud数据、Wi-Fi记录、短信、通讯录、浏览器历史、位置轨迹、Apple Health数据、WhatsApp/Telegram聊天记录，以及Coinbase、Binance等主流加密货币钱包数据。但在具体实现方面，Coruna偏向于持久化监控与金融窃取，DarkSword更注重快速数据外传后自毁。

Apple已于后续iOS版本中修补相关漏洞（Coruna相关补丁早于iOS 17.3，DarkSword相关补丁至iOS 26.3），但未更新的旧设备仍处于高风险状态。而全球范围内仍有大量苹果活跃设备未更新至最新iOS版本，因此这两个攻击武器仍存在不小潜在威胁。

泄露与扩散情况

两款工具的扩散路径清晰体现出了“高级漏洞利用武器平民化”的趋势。

Coruna在2025年初由商业间谍软件的客户使用，随后流转至网络攻击组织UNC6353，在2025年夏季用于针对乌克兰的水坑攻击。2025年底，金融诈骗团伙UNC6691获取到该武器，并进行了一些改动，移除地理限制，增强加密货币窃取功能，然后在全球假冒金融网站大规模部署。Google GTIG追踪显示，其已从“高度针对性”转为“广撒网”攻击。

DarkSword也曾被前面提到的攻击组织UNC6353所使用，在2025年12月替换Coruna。同时这款武器还被土耳其商业监控厂商PARS Defense（针对土耳其/马来西亚）和UNC6748（沙特用户）采用。2026年3月GitHub泄露后，进一步被低阶犯罪团伙（如TA446）复用，甚至出现随机网民实验案例。

这些高端零日工具经二手市场和泄露后，普通犯罪分子也能使用，如同之前NSA武器库泄露之后导致的“永恒之蓝”漏洞被大规模滥用。它们不仅威胁个人隐私与财产，还可能导致企业凭证泄露、横向移动攻击。这些工具已经从针对特定个体和机构的“专属攻击武器”，演变为“经济动机驱动的犯罪工具”。

防护建议

（1）立即更新系统，将iPhone/iPad升级至最新iOS/iPadOS版本，Apple明确表示，所有已知漏洞均已修复。

（2）启用设备的Lockdown模式，此模式可有效阻断Coruna/DarkSword攻击链，Apple确认尚未观察到Lockdown模式被成功绕过的案例。

（3）避免点击可疑链接或访问未知网站；使用Safari私密浏览模式；关闭不必要的iCloud同步。

（4）定期进行iOS设备合规审计；教育员工识别水坑攻击。

总结

Coruna与DarkSword事件是2026年移动安全领域标志性案例，揭示了国家级iOS exploit从“专属”向“大众化”扩散的危险趋势。短短两周内两款工具接连曝光，且DarkSword迅速在GitHub上泄露，凸显了零日武器二手市场与开源平台的双重放大效应。披露这些攻击武器的国外安全厂商的研究充分证明，这些工具已跨越国家、商业与犯罪边界，对全球大量苹果用户构成现实威胁，尤其在加密货币、金融数据和地缘政治敏感领域。及时更新系统打补丁仍是普通用户应对这些威胁能做到的最低成本且最高效的防御手段。

参考链接

[1].https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit

[2].https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

[3].https://techcrunch.com/2026/03/26/a-major-hacking-tool-has-leaked-online-putting-millions-of-iphones-at-risk-heres-what-you-need-to-know/

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 [email protected]。