卡巴斯基：Coruna 与 三角测量行动 样本同源

《Coruna: the framework used in Operation Triangulation》 http://t.cn/AXfklKXC

当时有人看到Coruna后说，是不是跟Operation Triangulation相关，我当时是觉得的，因为也没有直接证据，而且Operation Triangulation里的漏洞的相关细节都公开了，我当时更愿意相信这个是后面逆向出来的框架工程。

但是卡巴斯基这篇文章，结合卡巴手里的之前Operation Triangulation样本对比，给出了不少细节证据：（下面是我用notebooklm总结的）

内核漏洞利用程序的直接演进：研究人员分析发现，Coruna 中针对 CVE-2023-32434 和 CVE-2023-38606 的内核利用程序，实际上是“三角测量行动”中所用原始利用程序的更新版本。虽然这两个漏洞的细节已公开，但 Coruna 中的代码显示出的是一种持续开发的关系，而非第三方逆向后的重新实现。

统一的开发框架与通用代码：Coruna 并非零散拼接而成，而是采用统一的设计方法构建的。它包含的多个内核漏洞利用程序（包括在“三角测量行动”之后新开发的）都建立在同一个内核利用框架之上，并共享大量通用代码。

同步重编译的特征（最关键证据）：

研究人员在针对“旧漏洞”（本已被修复的漏洞）的利用程序中，发现了对**新款苹果处理器（如 A17、M3 系列）**以及新系统版本（如 iOS 17.2）的检查代码。
由于这些硬件和系统是在“三角测量行动”被公开后才发布的，这证明了开发者是基于同一份源代码库进行了整体更新和重编译，导致新特性同步出现在了所有（包括旧的）漏洞利用组件中。
组件间的高度逻辑耦合：Coruna 的 launcher（启动器） 组件与内核利用程序之间存在深度的技术集成。launcher 会直接重用利用程序在执行过程中创建的特殊内核对象（用于内核内存读写），而不需要重新触发漏洞。这种紧密的逻辑设计进一步证明了它们是一个完整、闭环的开发套件。

在写 http://t.cn/AXVjiwKZ 提到这种框架的开发虽然是nday 也是需要很大的工程量及漏洞分析的积累的，而这次直接跟Operation Triangulation关联起来就有很多“故事”可以yy了～～

比如：Operation Triangulation 被认为是美帝的行动，攻击目标是大毛的卡巴斯基（当然可能还有其他目标）， 然后 Coruna 被最早被Google主导是在大毛搞二毛的行动中，当然还有之前2025我朋友圈发过的 美国防务巨头 L3Harris Technologies 子公司Trenchant的故事

当然在前面就有媒体提到这档子事情：http[s]://techcrunch.com/2026/03/10/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine/