近期，网络安全领域披露了两款针对 iPhone 的强力攻击工具：“DarkSword” 和 “Coruna”。这些技术因其高度复杂性和“非对称”的扩散速度引发了安全界的广泛关注。

得回到上古时代了，windows ie 访问一个网站就直接下载木马运行了，那时候很多人中木马，灰例子 pcshare 之类的，没想到不是技术过时，只是很多人不会用，你看看人家 俄国的hacker怎么用这样的漏洞的。

1. “DarkSword”：最新披露的“打了就跑”间谍软件

就在 2026年3月18日，Google 威胁情报团队（GTIG）、Lookout 和 iVerify 共同发布报告，披露了一款名为 DarkSword 的新型 iOS 漏洞利用链。

• 攻击机制： 采用了“水坑攻击”（Watering Hole Attack）。受害者只需使用 Safari 浏览器访问被劫持的合法网站，攻击程序就会自动触发。

• 技术特点： 这是一个包含 6 个漏洞 的复杂利用链（包括 CVE-2025-31277 和 CVE-2026-20700）。它能绕过浏览器的沙箱保护，最终获得内核控制权。

• “闪击”模式： 不同于传统的长期监控间谍软件，DarkSword 倾向于“即取即走”。它会在几分钟内迅速窃取密码、邮件、照片及加密货币钱包数据，随后自动删除痕迹并退出，极其隐蔽。

• 受影响版本： 主要针对 iOS 18.4 至 18.7 版本。据估计，全球仍有约 15% 的 iPhone（约数亿台）处于此版本区间。

2. “Coruna”：疑似泄露的高级工具包

本月初（2026年3月3日）披露的 Coruna 同样震撼了业界。

• 背景： 研究人员认为该工具包具有“国家级”水准，甚至有证据显示其代码逻辑与某些政府级开发模块相似。令人担忧的是，这些顶尖工具似乎已流向了普通的网络犯罪组织。

• 目标： 主要针对运行 iOS 13.0 至 17.2.1 的旧型号设备。

• 影响： 目前已观察到该工具被用于针对乌克兰、土耳其和马来西亚等地的特定目标。

3. Apple 的应对措施

为了应对这些日益增长的威胁，Apple 最近推出了几项关键更新：

• iOS 26.3 / 26.3.1： 官方确认已修复了 DarkSword 所利用的关键零日漏洞（如 dyld 内存损坏漏洞）。

• 后台安全改进（Background Security Improvements）： Apple 刚刚上线了一种名为“轻量级安全发布”的机制，允许系统在不重启、不进行完整系统更新的情况下，通过后台自动修复 WebKit 等核心组件的漏洞。

---

关于 Coruna 的研究，Google 威胁分析小组（TAG）和移动安全公司 iVerify 在 发布了非常详尽的分析报告。

这份工具包之所以在圈内引起巨大轰动，是因为它被认为是**“美国政府级黑客工具流向民间”**的罕见案例。

1. 核心研究链接

你可以通过以下官方博客深入研究其技术构架（建议使用 PC 端查看，包含大量代码混淆和漏洞利用逻辑分析）：

• Google Cloud Blog (TAG 官方分析):Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit

  看点： 详细记录了该工具如何从监控软件公司流向俄罗斯黑客，最后被中国网络犯罪团伙用于窃取加密货币。

• iVerify 官方分析:Inside Coruna / CryptoWaters: Investigating the First Known Mass iOS Attack

  看点： iVerify 创始人 Rocky Cole（前 NSA 雇员）对该工具“政府出身”背景的论证，以及对 23 个漏洞组合的具体拆解。

---

2. Coruna 的深度技术细节

如果你打算“硬核”研究其代码逻辑，以下是报告中披露的关键点：

• 23 个漏洞组成的“军火库”：Coruna 并不只有一两个招式，它内置了 23 个独立漏洞。系统会首先对访问网页的 iPhone 进行“指纹识别”（Fingerprinting），识别出具体的型号和 iOS 版本，然后从 5 条完整的攻击链 中自动匹配最稳妥的一条。

• 已确认的关键 CVE 漏洞：其中包含了一些著名的零日漏洞组合（有些曾用于 2023 年的“三角洲行动”）：

• CVE-2021-30952 (buffout): WebKit 的读写漏洞。

• CVE-2023-41974 (Parallax): 内核提权漏洞，用于获得最高控制权。

• CVE-2023-43000 (terrorbird): 内存损坏漏洞，用于触发远程代码执行。

• 独特的 PlasmaLoader 载荷：攻击成功后，它会植入名为 PlasmaLoader 的恶意模块。该模块会自动扫描手机中的 18 种加密货币钱包（如 MetaMask, Phantom, BitKeep），并实时监控屏幕截图，寻找“助记词”、“私钥”或“银行账号”等关键字。

• 隐身策略：Coruna 非常“聪明”，如果检测到手机开启了 Lockdown Mode（锁定模式） 或者用户正在使用 无痕浏览（Private Browsing），它会自动终止攻击以防暴露。

3. “二手零日”市场的警示

研究人员指出，Coruna 证明了一个危险的趋势：曾经价值数百万美元的政府级漏洞利用工具，正通过“二手市场”变得廉价化和大众化。原本用来对付特定目标的武器，现在正被用来大规模收割普通用户的虚拟资产。华盟君这边听说这个变种利用的代码，已经炒到上百万了。

如何保护您的设备？

1. 立即更新： 确保您的 iPhone 已升级到 iOS 26.3.1 或更高版本。

2. 开启自动安全更新： 在“设置”>“通用”>“软件更新”中，确保“后台安全改进”已开启。

3. 高风险环境开启 Lockdown Mode： 如果您属于可能被针对的高敏感人群，建议开启“锁定模式”以极大限度减少攻击面。

文章来源 ：网络

精彩推荐

800 课时系统实训，硬核实战 + 全程护航

华盟信安信息安全课程重磅升级

伊朗最高领袖之死幕后：首都摄像头、通信、基站长年被深度渗透控制；

‍

‍

年薪50万还不够？3名大厂员工兼职做黑产被抓

‍