俄罗斯间谍使用的iPhone黑客工具包疑似源自美国军工承包商

TechCrunch获悉，针对乌克兰和中国iPhone用户的大规模黑客攻击活动所使用的工具可能由美国军工承包商L3Harris设计。这些原本供西方间谍使用的工具最终落入包括俄罗斯政府间谍和中国网络犯罪分子在内的多个黑客组织手中。上周，谷歌披露其在2025年发现一套名为“Coruna”的复杂iPhone黑客工具包被用于一系列全球攻击。该工具包由23个不同组件构成，最初由某“监控供应商”的未具名政府客户用于“高度针对性行动”，随后被俄罗斯政府间谍用于针对少数乌克兰人，并被中国网络犯罪分子用于“大规模”窃取金钱和加密货币的活动。移动网络安全公司iVerify的研究人员独立分析Coruna后认为，其可能由一家向美国政府出售产品的公司最初开发。两名L3Harris前雇员透露，Coruna至少部分由该公司旗下黑客与监控技术部门Trenchant开发，其中一名熟悉Trenchant iPhone黑客工具的前雇员表示“Coruna绝对是一个组件的内部名称”，并指出谷歌公布的技术细节“非常熟悉”。L3Harris将Trenchant的黑客和监控工具独家出售给美国政府及其“五眼联盟”盟友（包括澳大利亚、加拿大、新西兰和英国），鉴于客户数量有限，Coruna最初可能由这些政府的情报机构获取使用，后落入非预期人员手中，但目前尚不清楚Coruna工具包中有多少部分由L3Harris Trenchant开发，L3Harris发言人未回应置评请求。Coruna如何从五眼联盟政府承包商流转至俄罗斯政府黑客组织再到中国网络犯罪团伙的过程尚不明确，但部分情况与Trenchant前总经理Peter Williams的案件相似。Williams在2022年至2025年年中期间向俄罗斯公司Operation Zero出售了8款公司黑客工具，该公司以数百万美元收购零日漏洞，Williams因盗窃并以130万美元出售这些工具于上月被判处7年监禁。美国财政部称Operation Zero上月受到制裁，其向至少一名未授权用户出售了Williams窃取的工具，这可能解释了俄罗斯间谍组织UNC6353如何获取Coruna并通过受感染的乌克兰网站针对特定地理位置的iPhone用户实施攻击。此外，Operation Zero可能将工具包转售给其他人或组织，美国检察官称Williams发现其编写并出售给Operation Zero的代码后来被韩国经纪人使用。谷歌研究人员称Coruna中的两个零日漏洞Photon和Gallium被用于Operation Triangulation攻击行动，该行动于2023年由卡巴斯基首次披露。iVerify联合创始人Rocky Cole（前美国国家安全局员工）表示，基于Coruna的使用时间线与Williams泄密事件吻合、其Plasma、Photon和Gallium模块结构与Triangulation相似、且复用了该行动中的部分漏洞等因素，“目前已知信息的最佳解释”指向Trenchant和美国政府是Coruna的原始开发者和客户，但他并未“明确断言”。一名Trenchant前雇员称，2023年Triangulation被披露时，公司其他员工认为卡巴斯基发现的至少一个零日漏洞“源自公司，可能是从包含Coruna的总体项目中‘剥离’出来的”。安全研究员Costin Raiu指出，Coruna的23个工具中部分使用鸟类名称（如Cassowary、Terrorbird等），而2021年《华盛顿邮报》曾披露L3Harris收购的初创公司Azimuth曾向FBI出售名为Condor的黑客工具，这也指向Trenchant。卡巴斯基的Boris Larin表示，尽管Coruna与Operation Triangulation利用相同的两个漏洞，但仅凭漏洞利用无法进行归因，且这些漏洞细节已公开，任何人都可能利用，卡巴斯基无法将Triangulation归因于任何已知的高级持续威胁组织或漏洞开发公司。此外，卡巴斯基为Triangulation设计的徽标与L3Harris的徽标相似，该公司此前曾在报告中通过图像暗示攻击活动的幕后主体。苹果、谷歌、卡巴斯基和Operation Zero均未回应置评请求。