美国军事承包商或为俄罗斯间谍开发在乌使用的iPhone黑客工具

TechCrunch获悉，针对乌克兰和中国iPhone用户的大规模黑客攻击活动所使用的工具可能由美国军事承包商L3Harris设计。这些原本供西方间谍使用的工具最终落入包括俄罗斯政府间谍和中国网络犯罪分子在内的多个黑客组织手中。上周，谷歌披露其在2025年发现一套名为“Coruna”的复杂iPhone黑客工具包被用于一系列全球攻击。该工具包由23个不同组件构成，最初由某“监控供应商”的未具名政府客户用于“高度针对性行动”，随后被俄罗斯政府间谍用于攻击少数乌克兰人，最终被中国网络犯罪分子用于“大规模”敛财及窃取加密货币的活动。移动网络安全公司iVerify的研究人员独立分析Coruna后认为，其可能由一家向美国政府出售产品的公司最初开发。L3Harris的两名前雇员透露，Coruna至少部分由该公司旗下负责黑客与监控技术的Trenchant部门开发，其中一名熟悉iPhone黑客工具的前雇员表示“Coruna绝对是一个组件的内部名称”，并指出谷歌公布的技术细节“非常熟悉”。L3Harris仅向美国政府及其“五眼联盟”盟友出售Trenchant的黑客和监控工具，鉴于客户数量有限，Coruna最初可能由这些政府的情报机构获取使用，后落入非预期人员手中，但目前尚不清楚Coruna工具包中有多少部分由L3Harris Trenchant开发，L3Harris发言人未对此置评。关于Coruna如何从五眼联盟政府承包商流转至俄罗斯政府黑客组织及中国网络犯罪团伙的具体路径尚不明确，但部分情况与Trenchant前总经理Peter Williams的案件相似。Williams在2022年至2025年年中期间，向俄罗斯公司Operation Zero出售了8款公司黑客工具，该公司专门收购零日漏洞，Williams因此获刑7年。美国财政部称Operation Zero已被制裁，并将Williams窃取的工具出售给至少一名未授权用户，这或解释了俄罗斯间谍组织UNC6353如何获取Coruna并通过乌克兰恶意网站针对特定地理位置的iPhone用户实施攻击。此外，Operation Zero与Trickbot勒索软件团伙成员存在关联，可能将工具转售给其他方。谷歌研究人员指出，Coruna中的两个零日漏洞Photon和Gallium曾用于针对俄罗斯iPhone用户的“Triangulation行动”，iVerify联合创始人Rocky Cole（前美国国家安全局员工）基于Coruna使用时间线与Williams泄密时间吻合、其模块结构与Triangulation相似及漏洞复用等因素，认为Trenchant和美国政府可能是Coruna的原始开发者和客户，但强调并非“ definitive”结论。一名前Trenchant雇员称，2023年Triangulation行动被披露时，公司员工曾认为卡巴斯基捕获的至少一个零日漏洞“来自我们，可能是从包含Coruna的总体项目中‘剥离’出来的”。安全研究员Costin Raiu指出，Coruna的23个工具中部分使用鸟类名称（如Cassowary、Terrorbird等），而L3Harris收购的初创公司Azimuth曾向FBI出售名为Condor的黑客工具，二者命名方式相似。卡巴斯基虽未公开将Triangulation行动归因于特定组织，但该行动标识与L3Harris标志存在相似性，且其研究人员表示无法将该行动归因于已知的高级持续威胁组织或漏洞开发公司，同时指出谷歌将Coruna与Triangulation关联的依据是二者利用相同漏洞，但这些漏洞细节已公开，任何人都可能利用。苹果、谷歌及Operation Zero均未回应置评请求。