Bộ dụng cụ hack iPhone của Apple được sử dụng bởi gián điệp, các trò lừa đảo tiền điện tử có thể bắt nguồn từ tình báo Mỹ

Tóm tắt

• Google đã phát hiện một bộ công cụ khai thác iOS tinh vi gọi là Coruna gồm 23 lỗ hổng.
• Bộ công cụ này đã được sử dụng bởi các nghi phạm tình báo Nga và các lừa đảo tiền điện tử Trung Quốc.
• Công ty an ninh iVerify cho biết các manh mối trong mã nguồn cho thấy nó có thể bắt nguồn từ một nhà thầu tình báo của Mỹ.

Nhóm Thông tin Đe dọa của Google (GTIG) đã phát hiện ra một bộ công cụ tấn công iPhone mạnh mẽ có khả năng lây nhiễm thiết bị khi người dùng truy cập một trang web độc hại, nghĩa là phần mềm độc hại có thể được chuyển tải mà không cần người dùng nhấp gì cả. Framework này, gọi là “Coruna,” bao gồm năm chuỗi khai thác iOS hoàn chỉnh và 23 lỗ hổng nhắm vào iPhone chạy iOS 13 đến 17.2.1. Các nhà nghiên cứu cho biết một số khai thác dựa trên các kỹ thuật chưa từng thấy để vượt qua các biện pháp bảo vệ của Apple.

Bộ công cụ khai thác Coruna nhắm vào iOS.

Coruna sử dụng 23 lỗ hổng để tấn công các thiết bị Apple chạy iOS 13-17.2.1. Nó được sử dụng cho hoạt động gián điệp và bởi các nhóm có động cơ tài chính để đánh cắp tiền điện tử.

Cập nhật thiết bị iOS của bạn và tìm hiểu thêm về mối đe dọa này: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (thuộc Google Cloud) (@Mandiant) ngày 3 tháng 3 năm 2026

GTIG lần đầu tiên xác định các phần của bộ công cụ này vào đầu năm 2025 trong một chuỗi khai thác do khách hàng của một nhà cung cấp giám sát thương mại không rõ danh tính sử dụng. Mã nguồn sử dụng một framework JavaScript nhận dạng thiết bị để xác định mẫu iPhone và phiên bản hệ điều hành trước khi gửi khai thác phù hợp. Cùng framework này sau đó xuất hiện trên các trang web Ukraine bị xâm nhập vào giữa năm 2025. Google cho rằng chiến dịch này thuộc về UNC6353, một nhóm gián điệp Nga bị nghi ngờ, sử dụng các iframe ẩn để nhắm mục tiêu chọn lọc người dùng iPhone truy cập. Sau đó trong năm, các nhà nghiên cứu lại phát hiện bộ công cụ này trên hàng trăm trang web bằng tiếng Trung liên quan đến lừa đảo tiền điện tử và tài chính. Các trang này cố gắng dụ dỗ nạn nhân truy cập bằng thiết bị iOS trước khi tiêm mã khai thác. Báo cáo cho biết các lỗ hổng mà Coruna khai thác đã được vá trong các phiên bản mới hơn của hệ điều hành di động của Apple và khuyên người dùng cập nhật thiết bị của mình. Bộ công cụ khai thác này không hoạt động trên các phiên bản iOS mới nhất. Nguồn gốc có thể từ Mỹ Trong khi báo cáo của GTIG không xác định rõ khách hàng của nhà cung cấp giám sát ban đầu hoặc ai đã phát triển bộ công cụ này, các nhà nghiên cứu của công ty an ninh di động iVerify cho biết các yếu tố trong mã nguồn gợi ý khả năng nguồn gốc từ Mỹ.

“Đây là một công cụ rất tinh vi, tốn hàng triệu đô la để phát triển, và mang đặc điểm của các module khác đã được công khai gán cho chính phủ Mỹ,” đồng sáng lập iVerify Rocky Cole nói với WIRED. Ông còn nói rằng đây là ví dụ đầu tiên mà công ty phát hiện về việc “các công cụ rất có thể của chính phủ Mỹ” bị các đối thủ và nhóm tội phạm mạng sử dụng sau khi “thoát khỏi tầm kiểm soát.”  iVerify ước tính khoảng 42.000 thiết bị đã bị xâm nhập trong một chiến dịch sau khi phân tích lưu lượng truy cập tới các máy chủ điều khiển và kiểm soát liên kết với các trang web lừa đảo bằng tiếng Trung phân phối các khai thác này. Bộ công cụ nhắm vào các lỗ hổng trong trình duyệt WebKit của Apple và bao gồm một trình tải (loader) triển khai các chuỗi khai thác khác nhau tùy theo mẫu thiết bị và phiên bản hệ điều hành. Các payload được mã hóa, nén và chuyển giao trong một định dạng tệp tùy chỉnh nhằm tránh bị phát hiện. “Người dùng iPhone được khuyến cáo mạnh mẽ cập nhật thiết bị của mình lên phiên bản iOS mới nhất,” GTIG nói, đồng thời thêm rằng Chế độ Lockdown của Apple có thể cung cấp thêm lớp bảo vệ nếu việc cập nhật không khả thi.