隐形的演变：将 Coruna 框架与“三角测量行动”联系起来

卡巴斯基揭示了 Coruna 漏洞利用框架与“三角测量行动”之间的技术联系，展示了 iOS 间谍软件的复杂演变。

2026年3月26日

识别和遏制数据泄露平均需要 277 天，但对于“三角测量行动”（Operation Triangulation）的受害者来说，沉默持续了数年。当卡巴斯基在 2023 年首次注意到其公司 Wi-Fi 上的异常流量时，他们看到的不仅仅是一个微小的漏洞；他们正在顺藤摸瓜，最终揭开了历史上最复杂的 iOS 间谍活动之一。现在，新证据表明，“三角测量”的幽灵并未消失——它已演变成一个名为 Coruna 的框架。

代码中的共同祖先

从技术角度来看，谷歌威胁分析小组 (TAG) 和 iVerify 发现 Coruna 漏洞利用框架最初似乎是一个独立但令人担忧的发展。在乌克兰的水坑攻击和中国以营利为目的的活动中，观察到了 Coruna 在野外针对 iPhone 的攻击。然而，在幕后，架构上的相似之处过于明显，不容忽视。

卡巴斯基研究人员最近获取并解密了活跃的 Coruna 分发链接，取证证据令人震惊。Coruna 的一个主要内核漏洞利用程序（利用了 CVE-2023-32434 和 CVE-2023-38606）本质上是原始“三角测量行动”中所使用的完全相同漏洞利用程序的完善更新版本。换句话说，如果“三角测量行动”是一台定制引擎，那么 Coruna 就是在同一工厂使用相同蓝图制造的高性能继任者。

演变的解剖

在实践中，Coruna 远非简单的复制粘贴。虽然它共享其前身的 DNA，但它已成长为一个多功能的工具包。分析显示，该框架内还有四个在原始“三角测量”活动中从未见过的额外内核漏洞利用程序。好奇的是，其中两个是在“三角测量行动”的细节公开之后开发的。

这表明开发团队具有韧性和前瞻性。评估攻击面可以发现，这些参与者不仅仅是在回收旧把戏；他们正在积极监控安全形势，并设计绕过现代 iOS 防御的新方法。尽管针对不同的漏洞，Coruna 工具包中的所有五个漏洞利用程序都共享一个通用的代码库和统一的内核漏洞利用框架。这种一致性表明这是一种系统性的开发努力，而不是杂乱无章的工具集合。

为什么 iOS 仍然是高价值目标

从终端用户的角度来看，存在一个普遍的误解，即 iOS 的“围墙花园”是无懈可击的。实际上，硬件和软件的高度集成使其成为复杂的 APT（高级持续性威胁）参与者的首选目标。当在架构层面发现漏洞时（正如在“三角测量”中看到的基于硬件的绕过），它提供了一个极其难以检测的隐蔽且普遍的立足点。

我记得几年前分析过一次类似的针对性攻击，受害者确信他们的设备是安全的，仅仅因为他们没有点击任何可疑链接。现代点击零（zero-click）漏洞利用的现实要危险得多。就像数字木马一样，这些漏洞利用通过隐形触发器到达——一个从未触发通知的 iMessage 附件，或者访问一个被入侵但合法的网站。一旦进入内部，恶意软件就像一个沉默的擅自占地者，在对用户完全不可见的情况下窃取敏感数据。

评估风险格局

观察威胁格局，从“三角测量行动”到 Coruna 的过渡突显了向可扩展、模块化漏洞利用套件的转变。虽然“三角测量”感觉像是一次定制行动，但 Coruna 似乎旨在跨不同地理区域和不同动机进行更广泛的分发，从国家赞助的间谍活动到高级金融犯罪。

特性	三角测量行动 (Operation Triangulation)	Coruna 框架
主要目标	外交/政府	乌克兰（水坑攻击）、中国（金融）
核心漏洞	CVE-2023-32434, CVE-2023-38606	共享核心 + 4 个新内核漏洞利用
隐蔽级别	极高（点击零）	高（水坑攻击/针对性）
代码库	原始原型	精炼、模块化演变

本质上，威胁参与者已经从单一的任务关键型工具转向了一个强大、可重复使用的平台。这使得事件响应人员的工作变得更加困难，因为即使底层框架保持不变，入侵指标 (IoC) 也在不断变化。

在零日世界中的主动防御

除了补丁之外，如何防御旨在绕过移动安全根基的框架？从隐私的角度来看，答案在于分层防御策略。我们经常谈论“人为防火墙”，但在处理点击零漏洞利用时，人往往被完全绕过。

相反，我们必须将安全视为一系列细粒度的障碍。对于组织而言，这意味着实施严格的移动设备管理 (MDM) 政策，并监控最初向研究人员提示“三角测量”的那种异常网络流量。对于个人而言，这意味着对设备更新保持健康的警惕，并利用 Apple 的锁定模式（Lockdown Mode）（如果你属于高风险类别，如记者、活动人士或政府雇员）。