ชุดแฮ็ก iPhone ของ Apple ที่ใช้โดยสายลับ การหลอกลวงในวงการคริปโต อาจมีต้นกำเนิดจากหน่วยข่าวกรองของสหรัฐฯ

สรุปโดยย่อ

• กูเกิลได้ระบุชุดเครื่องมือโจมตี iOS ที่ซับซ้อนชื่อว่า Coruna ซึ่งประกอบด้วยช่องโหว่ 23 จุด
• ชุดเครื่องมือนี้ถูกใช้โดยสายลับรัสเซียที่สงสัยและกลุ่มหลอกลวงคริปโตของจีน
• บริษัทด้านความปลอดภัย iVerify กล่าวว่าเบาะแสในโค้ดชี้ให้เห็นว่าอาจมีต้นกำเนิดจากผู้รับเหมากองทัพสหรัฐ

กลุ่ม Threat Intelligence ของกูเกิล (GTIG) ค้นพบชุดเครื่องมือแฮก iPhone ที่ทรงพลัง ซึ่งสามารถแพร่เชื้ออุปกรณ์ได้เมื่อผู้ใช้เข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตราย โดยไม่จำเป็นต้องคลิกอะไรเลย มัลแวร์สามารถถูกส่งต่อได้โดยอัตโนมัติ โครงสร้างนี้ ซึ่งตั้งชื่อว่า “Coruna” รวมช่องโหว่ iOS ทั้งสิ้น 5 ชุดและ 23 จุดที่เป็นเป้าหมายของ iPhone ที่รัน iOS 13 ถึง 17.2.1 นักวิจัยกล่าวว่าช่องโหว่บางส่วนใช้เทคนิคที่ไม่เคยเห็นมาก่อนเพื่อข้ามการป้องกันของแอปเปิล

ชุดเครื่องมือ Coruna เจาะเป้าหมายที่ iOS

Coruna ใช้ช่องโหว่ 23 จุดต่ออุปกรณ์ของแอปเปิลที่รัน iOS 13-17.2.1 ถูกใช้เพื่อการสอดแนม และโดยกลุ่มที่มีแรงจูงใจทางการเงินเพื่อขโมยคริปโต

อัปเดตอุปกรณ์ iOS ของคุณ และเรียนรู้เพิ่มเติมเกี่ยวกับภัยคุกคามนี้: https://t.co/c7QRDPWMKI pic.twitter.com/l8rK9ZOLsw

— Mandiant (ส่วนหนึ่งของ Google Cloud) (@Mandiant) 3 มีนาคม 2026

GTIG พบส่วนของชุดเครื่องมือนี้เป็นครั้งแรกในต้นปี 2025 ในช่องโหว่ที่ใช้โดยลูกค้าของผู้ให้บริการสอดแนมเชิงพาณิชย์รายหนึ่ง โค้ดใช้เฟรมเวิร์ก JavaScript ที่สามารถระบุอุปกรณ์เพื่อกำหนดรุ่นและเวอร์ชันของระบบปฏิบัติการ iPhone ก่อนที่จะส่งช่องโหว่ที่ปรับแต่งให้เหมาะสม ต่อมาในกลางปี 2025 โครงสร้างเดียวกันก็ปรากฏบนเว็บไซต์ยูเครนที่ถูกแฮ็ก Google ระบุว่ากิจกรรมนี้เป็นของกลุ่ม UNC6353 ซึ่งเป็นกลุ่มสายลับรัสเซียที่ใช้ iframe ซ่อนเร้นเพื่อเลือกเป้าหมายผู้ใช้ iPhone ที่เข้าเยี่ยมชม ต่อมาในปี นักวิจัยพบชุดเครื่องมือนี้อีกครั้งบนเว็บไซต์ภาษาจีนหลายร้อยแห่งที่เกี่ยวข้องกับกลโกงคริปโตและการเงิน เว็บไซต์เหล่านั้นพยายามล่อให้เหยื่อเข้าเยี่ยมชมด้วยอุปกรณ์ iOS ก่อนที่จะฉีดชุดเครื่องมือโจมตี รายงานระบุว่าช่องโหว่ที่ Coruna ใช้ได้ถูกแก้ไขในเวอร์ชันใหม่ของระบบปฏิบัติการ iOS ของแอปเปิลแล้ว และแนะนำให้ผู้ใช้ทำการอัปเดตอุปกรณ์ของตน ชุดเครื่องมือนี้ไม่สามารถใช้งานกับเวอร์ชันล่าสุดของ iOS ได้

ต้นกำเนิดจากสหรัฐฯ ที่เป็นไปได้ แม้รายงานของ GTIG จะไม่ระบุชื่อลูกค้าของผู้ให้บริการสอดแนมเชิงพาณิชย์หรือผู้พัฒนาชุดเครื่องมือนี้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยมือถือ iVerify กล่าวว่า โค้ดบางส่วนชี้ให้เห็นถึงต้นกำเนิดจากสหรัฐฯ

“มันซับซ้อนมาก ใช้เงินหลายล้านดอลลาร์ในการพัฒนา และมีลักษณะเด่นของโมดูลอื่นๆ ที่เคยถูกเชื่อมโยงกับรัฐบาลสหรัฐฯ” Rocky Cole ผู้ร่วมก่อตั้ง iVerify กล่าวกับ WIRED เขาเสริมว่านี่เป็นตัวอย่างแรกที่บริษัทค้นพบของ “เครื่องมือที่น่าจะเป็นของรัฐบาลสหรัฐฯ” ที่ถูกนำไปใช้โดยฝ่ายตรงข้ามและกลุ่มอาชญากรไซเบอร์หลังจาก “หลุดออกนอกเส้นทาง”  iVerify คาดว่ามีอุปกรณ์ประมาณ 42,000 เครื่องถูกคุกคามในแคมเปญเดียว หลังจากวิเคราะห์ทราฟฟิกไปยังเซิร์ฟเวอร์คำสั่งและควบคุมที่เชื่อมโยงกับเว็บไซต์กลโกงภาษาจีนที่แจกจ่ายช่องโหว่ ชุดเครื่องมือนี้มุ่งเป้าไปที่ช่องโหว่ในเอนจินเบราว์เซอร์ WebKit ของแอปเปิล และรวมถึงตัวโหลดที่สามารถปล่อยช่องโหว่หลายชุดตามรุ่นอุปกรณ์และเวอร์ชันของระบบปฏิบัติการ Payloads ถูกเข้ารหัส บีบอัด และส่งในรูปแบบไฟล์ที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ “ผู้ใช้ iPhone ควรอัปเดตอุปกรณ์เป็นเวอร์ชันล่าสุดของ iOS อย่างเร่งด่วน” GTIG กล่าว พร้อมเสริมว่า โหมด Lockdown ของแอปเปิลสามารถให้การป้องกันเพิ่มเติมหากไม่สามารถอัปเดตได้