美軍承包商疑為俄國大規模iPhone攻擊行動的工具源頭

一場針對烏克蘭和中國 iPhone 用戶的大規模黑客行動中所使用的攻擊工具，被曝光很可能出自美國軍工承包商 L3Harris 的內部項目。該工具原本為西方情報機構定制，但最終落入俄羅斯情報部門和中國網絡犯罪團伙之手，引發對軍工網絡武器外泄風險的高度關注。

Google上周披露，在 2025 年間發現一套復雜的 iPhone 攻擊工具包被用于多輪全球攻擊。這套工具包被原始開發者命名為 “Coruna”，由 23 個不同組件組成，起初被某個未具名的政府客戶在“高度定點行動”中使用，隨后被俄羅斯政府支持的間諜用于攻擊少量烏克蘭目標，最終又被中國的網絡犯罪分子在大規模行動中利用，以竊取資金和加密貨幣。 移動安全公司 iVerify 獨立分析后判斷，該工具很可能最初由一家向美國政府出售產品的公司開發。

兩名曾在 L3Harris 黑客與監控技術部門 Trenchant 供職的前員工向媒體證實，Coruna 至少部分組件由 Trenchant 開發，他們都直接接觸過公司研發的 iPhone 攻擊工具。兩人要求匿名，稱“Coruna 確實是內部某組件的代號”，并表示Google公開的技術細節“非常眼熟”。 其中一名前員工稱，Trenchant 的整體工具包中包含多個組件和利用程序，Coruna 就是其中之一。

公開信息顯示，L3Harris 通過 Trenchant 向美國政府及其“五眼聯盟”盟友出售黑客和監控工具，客戶范圍僅限美國、英國、加拿大、澳大利亞和新西蘭的情報機構。 在客戶高度受限的前提下，Coruna 被認為極有可能是首先被其中一國情報部門采購并使用，之后才以某種方式流出，進入其他行為體之手。目前尚不清楚已曝光的 Coruna 工具集中究竟有多少代碼直接源自 L3Harris Trenchant。

Coruna 的跨國擴散軌跡，與 Trenchant 前總經理彼得·威廉姆斯（Peter Williams）泄露網絡武器一案高度相似。公開案情顯示，2022 年至 2025 年中期，威廉姆斯向俄羅斯公司 Operation Zero 出售了八個 Trenchant 攻擊工具，獲利約 130 萬美元。美國政府指控他利用對 Trenchant 內網的“完全訪問權限”，竊取這些可攻擊“全球數以百萬計電腦和設備”的工具，被認定為“背叛”美國及其盟友。 威廉姆斯今年 2 月被判處 7 年監禁，而 Operation Zero 也已遭美國財政部制裁。

美國財政部披露，Operation Zero 聲稱只與俄羅斯政府和本國企業合作，但官方認定其將威廉姆斯竊取的工具至少出售給“一名未經授權的用戶”。 Google的調查顯示，俄羅斯間諜組織 UNC6353 正是通過不明渠道獲得 Coruna，并將其植入被攻陷的烏克蘭網站，定向攻擊來自特定地理位置、使用 iPhone 訪問這些網站的用戶。 有分析認為，Operation Zero 在轉賣給俄羅斯官方后，可能繼續將工具轉售給其它經紀人、國家甚至直接出售給網絡犯罪團伙。美國在起訴文件中還提到，勒索軟件團伙 Trickbot 成員曾與 Operation Zero 合作，將這一經紀人與謀取經濟利益的黑客網絡聯系起來。

據美國檢方披露，威廉姆斯曾認出自己編寫并賣給 Operation Zero 的代碼，后來出現在一家韓國中間商手中。這也為 Coruna 如何最終流向中國黑客提供了可能路徑：在多輪轉賣和代碼再利用中，工具從政府情報圈層逐步擴散至更廣泛的黑產生態。

Google研究人員指出，Coruna 中名為 “Photon” 和 “Gallium” 的兩個具體漏洞利用組件，被作為零日漏洞武器，應用于一場名為“Operation Triangulation（“三角行動”）”的精密攻擊行動中，該行動被認為針對的是俄羅斯境內 iPhone 用戶。早在 2023 年，卡巴斯基實驗室就首次披露了“三角行動”。 iVerify 聯合創始人 Rocky Cole 稱，綜合目前公開信息，“最合理的解釋”是 Coruna 的原始開發者與客戶分別是 Trenchant 和美國政府，但他強調這一判斷尚非“絕對定論”。

Cole 的判斷基于三點：其一，Coruna 的使用時間線與威廉姆斯泄密案高度重疊；其二，Coruna 中三大模塊 “Plasma”“Photon”“Gallium” 的結構與“三角行動”中觀測到的模塊十分相似；其三，Coruna 重用了一些在該行動中已經使用過的攻擊代碼。 他還透露，來自“接近防務圈人士”的消息稱，“Plasma” 模塊也曾被用于“三角行動”，但目前并無公開證據支持這一點。Cole 本人曾供職于美國國家安全局（NSA）。

Google和 iVerify 的技術分析顯示，Coruna 被設計用來攻擊運行 iOS 13 至 iOS 17.2.1 的 iPhone，覆蓋了從 2019 年 9 月到 2023 年 12 月間發布的一系列系統版本。這一時間跨度，同樣與威廉姆斯泄露工具的時間線和“三角行動”的發現時間相吻合。 一名前 Trenchant 員工回憶，當 2023 年卡巴斯基首次公開“三角行動”時，公司內部不少人認為，至少有一個被捕獲的零日漏洞“出自我們”，并可能是從包含 Coruna 的整體項目中被“剝離”出來投入使用。

安全研究員 Costin Raiu 也在社交平臺上指出，Coruna 工具中多項組件以鳥類命名，如 Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrow 等，這與 Trenchant 的技術傳承存在隱性關聯。早在 2021 年，《華盛頓郵報》就報道，后來被 L3Harris 收購并并入 Trenchant 的安全公司 Azimuth 曾向美國聯邦調查局（FBI）出售一款名為 Condor 的 iPhone 破解工具，用于著名的圣貝納迪諾槍擊案 iPhone 解鎖事件。

在“三角行動”曝光后，俄羅斯聯邦安全局（FSB）指責美國國家安全局利用該工具入侵俄羅斯境內“數千部 iPhone”，重點針對外交官等目標。卡巴斯基當時表示，自己并不掌握 FSB 指控細節，但指出俄羅斯國家網絡事件協調中心（NCCCI）公開的“入侵指示器”與卡巴斯基此前識別的證據一致。 然而，卡巴斯基安全研究員 Boris Larin 表示，即便經過大量研究，依然無法將“三角行動”歸因于任何已知高級持續性威脅（APT）組織或漏洞開發公司。

Larin 解釋稱，Google之所以將 Coruna 與“三角行動”關聯，是因為二者都利用了 Photon 和 Gallium 這兩個相同漏洞。但僅憑共享漏洞本身并不足以完成歸因，因為這兩枚漏洞細節已長期公開，任何一方都可能據此開發各自的攻擊鏈。他強調，這兩處共同漏洞“只是冰山一角”。 值得一提的是，盡管卡巴斯基從未公開指控美國政府是“三角行動”的幕后黑手，但該公司為此次行動設計的、由多個三角形構成的蘋果 Logo，與 L3Harris 的品牌 Logo 在視覺上頗為相似，有觀點認為這是卡巴斯基慣常使用的“視覺暗示”手法。

卡巴斯基過去的做法似乎印證了這一推測。2014 年，該公司披露了一個名為 “Careto”（意為“面具”）的高級政府黑客組織，只提到攻擊者使用西班牙語，但在報告中使用的面具插畫加入了西班牙國旗的紅黃配色、公牛角和鼻環、響板等元素，被認為是在暗示攻擊者與西班牙政府有關。 正如后來有報道援引卡巴斯基內部人士說法稱，研究團隊私下認為“毫無疑問”，Careto 就是由西班牙政府主導的行動。

圍繞 Coruna 的爭議也引發媒體持續追蹤。網絡安全記者 Patrick Gray 在本周的播客節目《Risky Business》中表示，基于他掌握且有把握的“零碎情報”，威廉姆斯賣給 Operation Zero 的，正是“三角行動”中所使用的那套攻擊框架。 目前，蘋果、Google、卡巴斯基以及 Operation Zero 均未就此作出公開回應。