俄罗斯间谍使用的iPhone黑客工具包可能来自美国军事承包商

TechCrunch获悉，针对乌克兰和中国iPhone用户的大规模黑客攻击活动使用的工具可能是由美国军事承包商L3Harris设计的。这些原本是为西方间谍提供的工具最终落入了各种黑客组织手中，其中包括俄罗斯政府间谍和中国网络犯罪分子。

上周，Google透露，在2025年期间，它发现一个复杂的iPhone黑客工具包被用于一系列全球攻击。该工具包被其原始开发者称为“Coruna”，由23个不同的组件组成，最初由未指定的“监控供应商”的未具名政府客户“用于高度针对性的操作”。然后，俄罗斯政府间谍使用它来对付有限数量的乌克兰人，最后被中国网络犯罪分子“大规模”使用，目的是窃取金钱和加密货币。

移动网络安全公司iVerify的研究人员对Coruna进行了独立分析，他们认为它最初可能是由一家将其出售给美国政府的公司制造的。

政府承包商L3Harris的两名前雇员告诉TechCrunch，Coruna至少部分是由该公司的黑客和监控技术部门Trenchant开发的。这两名前员工都了解该公司的iPhone黑客工具。两人都要求匿名，因为他们无权谈论自己在公司的工作。

“Coruna绝对是一个组件的内部名称，”L3Harris的一名前员工表示，他在Trenchant工作时熟悉iPhone黑客工具。

“看看技术细节，”这位人士在提到Google发布的一些证据时说道，“很多都是熟悉的。”

联系我们您是否有关于Coruna或其他政府黑客和间谍软件工具的更多信息？在非工作设备上，您可以通过Signal（+1 917 257 1382）或通过Telegram、Keybase和Wire @lorenzofb或电子邮件安全地联系Lorenzo Franceschi-Bicchierai。

这位前员工表示，Trenchant总体工具包包含多个不同的组件，包括Coruna和相关漏洞。另一位前员工证实，已发布的黑客工具包中包含的一些详细信息来自Trenchant。

L3Harris专门向美国政府及其所谓“五眼”情报联盟的盟友（包括澳大利亚、加拿大、新西兰和英国）出售Trenchant的黑客和监控工具。鉴于Trenchant的客户数量有限，Coruna可能最初被这些政府情报机构之一收购和使用，然后落入无意之手，尽管目前尚不清楚已发布的Coruna黑客工具包中有多少是由L3Harris Trenchant开发的。

L3Harris发言人没有回应置评请求。

环球旅行的iPhone黑客工具包

科鲁尼亚病毒如何从五眼政府承包商手中转移到俄罗斯政府黑客组织，然后又转移到中国网络犯罪团伙手中，目前尚不清楚。

但有些情况似乎与Trenchant前总经理彼得·威廉姆斯 (Peter Williams) 的情况相似。从2022年到2025年中辞职，威廉姆斯向“零日行动”出售了八个公司黑客工具，这是一家俄罗斯公司，该公司提供数百万美元以换取零日漏洞，即受影响的供应商未知的漏洞。

39岁的澳大利亚公民威廉姆斯上个月被判处七年监禁，此前他承认盗窃八个Trenchant黑客工具并以130万美元的价格出售给零行动。

美国政府表示，威廉姆斯利用“完全访问”Trenchant网络的优势，“背叛”了美国及其盟友。检察官指控他泄露工具，这些工具可能让任何使用这些工具的人“可能访问世界各地数百万台计算机和设备”，这表明这些工具依赖于影响iOS等广泛使用的软件的漏洞。

上个月获得美国政府批准的“零号行动”声称只与俄罗斯政府和当地公司合作。美国财政部声称，俄罗斯经纪人将威廉姆斯的“被盗工具卖给了至少一名未经授权的用户”。

这可以解释俄罗斯间谍组织（Google仅识别为UNC6353）如何获取Coruna并将其部署在受感染的乌克兰网站上，以便攻击来自特定地理位置的某些无意访问恶意网站的iPhone用户。

有可能，一旦“零号行动”收购了科鲁尼亚并可能将其出售给俄罗斯政府，经纪人就会将该工具包转售给其他人，也许是另一个经纪人、另一个国家，甚至直接卖给网络犯罪分子。美国财政部声称，Trickbot勒索软件团伙的一名成员与“零行动”合作，将该经纪人与出于经济动机的黑客联系起来。

那时，科鲁尼亚病毒可能已经转移到其他人手中，直到到达中国黑客手中。据美国检察官称，威廉姆斯承认他编写并出售给零号行动的代码后来被韩国经纪人使用。

三角测量操作

Google研究人员周二写道，两个特定的Coruna漏洞和潜在漏洞（被其原始开发人员称为Photon和Gallium）被用作三角测量行动中的零日漏洞，该行动据称是针对俄罗斯iPhone用户的复杂黑客活动。三角测量行动于2023年由卡巴斯基首次披露。

iVerify联合创始人Rocky Cole告诉TechCrunch，“目前已知的最佳解释”指出Trenchant和美国政府是Coruna的原始开发商和客户。科尔补充说，尽管如此，他并没有“明确”地声称这一点。

他说，这一评估基于三个因素。他说，科鲁尼亚的使用时间线与威廉姆斯的泄漏一致，在科鲁尼亚发现的三个模块——等离子体、光子和镓——的结构与三角测量有很强的相似性，科鲁尼亚重复使用了该行动中使用的一些相同的漏洞。

据科尔称，“与国防界关系密切的人士”声称三角测量行动中使用了等离子，“尽管没有公开证据证明这一点。” （科尔此前曾在美国国家安全局工作。）

据Google和iVerify的说法，Coruna旨在破解运行iOS 13至17.2.1（发布时间为2019年9月至2023年12月）的iPhone机型。这些日期与Williams的一些泄密事件以及三角测量行动的发现时间线一致。

一位前Trenchant员工告诉TechCrunch，当Triangulation在2023年首次披露时，该公司的其他员工认为，卡巴斯基捕获的至少一个零日漏洞“来自我们，并且可能从包括Coruna在内的”总体项目中‘剥离’出来。

正如安全研究员Costin Raiu指出的那样，指向Trenchant的另一个线索是23种工具中的一些工具使用了鸟类名称，例如Cassowary、Terrorbird、Bluebird、Jacurutu和Sparrow。 2021年，《华盛顿邮报》披露，后来被L3Harris收购并并入Trenchant的两家初创公司之一的Azimuth在臭名昭著的圣贝纳迪诺iPhone破解案中向FBI出售了一款名为Condor的黑客工具。

卡巴斯基发布三角测量行动研究后，俄罗斯联邦安全局 (FSB) 指责美国国家安全局黑客入侵俄罗斯“数千”部iPhone，特别针对外交官。卡巴斯基发言人当时表示，该公司没有关于FSB指控的信息。该发言人确实指出，俄罗斯国家计算机事件协调中心 (NCCCI) 确定的“妥协指标”（即黑客攻击的证据）与卡巴斯基实验室确定的指标相同。

卡巴斯基安全研究员鲍里斯·拉林 (Boris Larin) 在一封电子邮件中告诉TechCrunch，“尽管我们进行了广泛的研究，但我们无法将三角测量行动归因于任何已知的 [高级持续威胁] 组织或漏洞开发公司。”

拉林解释说，Google将科鲁尼亚岛与三角测量行动联系起来，因为它们都利用了相同的两个漏洞——光子和镓。

“归因不能仅仅基于利用这些漏洞的事实。这两个漏洞的所有细节早已公开，”因此任何人都可以利用它们，他说，并补充说这两个共享漏洞“只是冰山一角”。

卡巴斯基从未公开指责美国政府支持三角测量行动。奇怪的是，该公司为这次活动创建的标志——由几个三角形组成的苹果标志——让人想起了L3Harris标志。这可能不是巧合。卡巴斯基此前曾表示，不会公开归因黑客活动，同时悄悄表示，它实际上知道谁是幕后黑手，或者谁为其提供了工具。

2014年，卡巴斯基宣布它抓获了一个复杂且难以捉摸的政府黑客组织“Careto”（西班牙语，意为“面具”）。该公司只表示黑客会说西班牙语。但该公司在报告中使用的口罩插图包括西班牙国旗的红色和黄色、公牛角和鼻环以及响板。

正如TechCrunch去年透露的那样，卡巴斯基研究人员私下得出的结论是，正如其中一位研究人员所说，“毫无疑问”卡雷托是由西班牙政府管理的。

周三，网络安全记者帕特里克·格雷在他的播客《风险业务》的一集中表示，他认为——基于他对“零碎”的信心——威廉姆斯向零号行动泄露的是三角测量活动中使用的黑客工具包。

Apple、Google、卡巴斯基和零号行动没有回应置评请求。