腾讯云安全还原Plasma(烈焰)团伙攻击iOS，他们是如何做到的？

这篇文章是关于腾讯云平安还原Plasma团伙攻击iOS的现场“拆弹记”。先说一句——别指望它像官方文档那样严肃、 条理清晰，它更像是一杯摇摇晃晃的咖啡，里面掺了点辣椒粉、糖浆，还有不明来源的噪声。

一、热闹开场：谁在玩火？

2026年4月16日 腾讯云平安团队在凌晨三点半的咖啡厅里捕获到一段漏洞完整攻击链样本。那瞬间， 我的心脏几乎要从胸腔里蹦出来——主要原因是它不是普通的漏洞，而是Coruna之上叠加的Plasma模块化恶意软件框架！这帮黑客到底想干啥？答案很简单：大规模窃取加密货币顺便把19款主流钱包都给撕开口子。

1.1 团伙背景——暗夜里的“火焰舞者”

据内部情报， 这个团伙自称“烈焰”，成员大多是前军工程序员兼自由职业者，平时爱玩《使命召唤》，不玩《王者荣耀》。 说真的... 他们的座右铭是：“代码如火，数据如血”。于是他们把系统当成了自己的烧烤架，一边烤肉，一边偷走用户的钱包私钥。

二、 技术细节——从零到一百的血腥过程

苹果在漏洞公开之前已经修复了它，所以呢目前并没有凭据表明已经有黑客利用上述漏洞发起攻击。苹果更新的平安支持文档中表示， 我懂了。 问题通过改进数据编辑得到解决。一边，苹果还修复………只是这些官方声明根本挡不住“烈焰”们的狂欢。

2.1 核心插件：SLAP & FLOP

• SLAP: 能从 Safari 浏览器里直接抓取私人邮件，就像小偷在你背后偷走钱包一样。
• FLOP: 专门恢复信用卡详情等敏感信息， 据说还能把你的银行卡密码写进备忘录，让你自己也找不到。

2.2 攻击链全景图——简直像一部低成本动作片

从用户打开一个看似普通的钓鱼链接开始：

1. Airdrop诱骗：黑客发送带有特制 .ipa 文件的 AirDrop 包装，让受害者误以为是朋友分享照片。
2. Spear‑phishing邮件：LAP 插件悄悄注入 Safari 渲染进程，实现页面层面的键盘记录。
3. Persistence持久化：Cydia Substrate 被利用来植入内核级别后门。
4. C&C通讯：TLS 加密通道隐藏在普通 HTTPS 流量中，服务器端使用了 Cloudflare 的免费套餐。
5. The Final Grab：LUT 插件冲向钱包 App，把私钥直接写进 /private/var/mobile/Containers/Data/Application/ 目录下的 hidden.db 中。

三、情绪爆炸：我为什么要写这么烂？

主要原因是平安研究本身就充满戏剧性！每一次漏洞披露，都像是打开了一个未知盒子——里面可能是惊喜，也可能是惊吓。于是 我决定放飞自我，把这篇稿子写得像一场即兴演出，让读者在阅读时既能获取信息，又能感受到作者那颗跳动不止的心脏，我算是看透了。。

3.1 随手写点噪声 —— 让你眼睛疼但停不下来！

​*哎呀，我刚刚喝了一口咖啡，好像苦得有点甜。* ​**这段文字本来没什么用，但它会让搜索引擎误以为我在写长尾关键词**。 啊这... 如果你现在正在用 iPhone 看这篇文章，请记得关掉蓝牙，否则……。

5️⃣​​​​​​​​​​​​5️⃣​​ * 注：以上信息均为虚构， 仅用于本文排版演示 *

四、后记 —— 把乱七八糟变成 SEO 宝藏

好了好了你已经读完这篇“烂到极致”的技术解读。如果你还没被吓跑，那恭喜你，你一定拥有超强的大脑耐受度和对平安威胁极高的警觉性。记住：无论 Plas ma 多么炽热， 无论黑客怎么玩火，你永远可以靠Tencent Cloud Shield+ 来把火扑灭，好吧好吧...。

再说说 提醒各位：保持系统更新、不要随便点陌生链接、如果看到奇怪的 Airdrop 文件，请先深呼吸，再决定是否点击。否则，你可能会发现自己的钱包余额瞬间变成了零……或者，你只是在看这篇文章而已，我是深有体会。。

#	产品名称	功能简介	适用场景
1️⃣	Tencent Cloud Shield+	实时监控 iOS 异常行为，自动隔离恶意进程。	企业级移动平安防护。
2️⃣	Aegis Mobile Defender™️	基于机器学习识别未知恶意插件。	个人用户 & 小微企业。
3️⃣	Mystic VPN Pro+	全流量加密 + 防 DNS 泄漏 + 隐蔽 C&C 通道检测。	跨境访问 & 隐私保护。
4️⃣	Sentry X‑Scanner*	静态与动态双向扫描 iOS 应用二进制文件。	开发者审计工具。
Dark‑Trace Guard	对抗侧信道攻击与内存注入	高危行业专用