An iPhone-hacking toolkit used by Russian spies likely came from U.S military contractor

TechCrunch 獲悉，一場針對烏克蘭和中國 iPhone 用戶的大規模駭客行動，使用了極可能由美國軍事承包商 L3Harris 所設計的工具。這些原本預計供西方間諜使用的工具，最終落入了包括俄羅斯政府特工和中國網路犯罪分子在內的各種駭客組織手中。

上週，Google 透露在 2025 年期間，發現一套複雜的 iPhone 駭客工具包被用於一系列全球攻擊。這套被原始開發者稱為「Coruna」的工具包由 23 個不同的組件組成，最初由某家未具名「監控供應商」的政府客戶用於「高度針對性的行動」。隨後，俄羅斯政府間諜將其用於對付少數烏克蘭人，最後則被中國網路犯罪分子用於以竊取金錢和加密貨幣為目標的「大規模」行動。

獨立分析 Coruna 的行動網路安全公司 iVerify 研究人員表示，他們認為這套工具最初可能是由一家將其出售給美國政府的公司所開發。

兩名政府承包商 L3Harris 的前員工告訴 TechCrunch，Coruna 至少有部分是由該公司的駭客與監控技術部門 Trenchant 所開發。這兩名前員工都對公司的 iPhone 駭客工具有所了解。由於未獲授權談論在該公司的工作內容，兩人均要求匿名。

「Coruna 絕對是其中一個組件的內部名稱，」一名熟悉 Trenchant iPhone 駭客工具的前 L3Harris 員工表示。

在查看 Google 發布的部分證據後，該人士表示：「看著這些技術細節，很多都非常熟悉。」

聯繫我們

這位前員工表示，Trenchant 的整體工具包包含多個不同組件，包括 Coruna 及其相關的漏洞利用程式（exploits）。另一位前員工也證實，公開的駭客工具包中包含的部分細節確實源自 Trenchant。

L3Harris 僅將 Trenchant 的駭客與監控工具出售給美國政府及其所謂「五眼聯盟」（Five Eyes）情報聯盟的盟友，包括澳洲、加拿大、紐西蘭和英國。鑑於 Trenchant 的客戶數量有限，Coruna 有可能最初是由這些政府的情報機構之一收購並使用，隨後才落入非預期的手中，儘管目前尚不清楚公開的 Coruna 駭客工具包中有多少比例是由 L3Harris Trenchant 開發的。

L3Harris 的發言人未回應置評請求。

跨國流竄的 iPhone 駭客工具包

Coruna 是如何從五眼聯盟政府承包商手中流向俄羅斯政府駭客組織，進而傳到中國網路犯罪集團，目前尚不清楚。

但某些情況似乎與 Trenchant 前總經理 Peter Williams 的案例相似。從 2022 年到 2025 年中辭職為止，Williams 向 Operation Zero 出售了八項公司駭客工具。Operation Zero 是一家俄羅斯公司，提供數百萬美元以換取零日漏洞（zero-day exploits），即受影響廠商尚未知曉的漏洞。

現年 39 歲的澳洲公民 Williams 在上個月被判處七年監禁，此前他承認竊取並以 130 萬美元的價格將八項 Trenchant 駭客工具出售給 Operation Zero。

美國政府表示，利用「完全訪問」Trenchant 網路權限的 Williams「背叛」了美國及其盟友。檢察官指控他洩露的工具可能允許使用者「潛在訪問全球數百萬台電腦和設備」，這暗示這些工具依賴於影響廣泛使用的軟體（如 iOS）的漏洞。

上個月受到美國政府制裁的 Operation Zero 聲稱僅與俄羅斯政府和當地公司合作。美國財政部聲稱，這家俄羅斯中間商將 Williams 的「失竊工具出售給了至少一名未經授權的使用者」。

這解釋了 Google 僅識別為 UNC6353 的俄羅斯間諜組織是如何取得 Coruna，並將其部署在受害的烏克蘭網站上，以便駭入那些無意中訪問該惡意網站、來自特定地理位置的 iPhone 用戶。

有可能在 Operation Zero 取得 Coruna 並可能將其出售給俄羅斯政府後，該中間商又將工具包轉售給了其他人，或許是另一個中間商、另一個國家，甚至直接賣給網路犯罪分子。財政部指控 Trickbot 勒索軟體集團的一名成員曾與 Operation Zero 合作，將該中間商與受利益驅動的駭客聯繫在一起。

此時，Coruna 可能經過多手轉交，直到落入中國駭客手中。根據美國檢察官的說法，Williams 後來在一名南韓中間商使用的代碼中，認出了自己編寫並出售給 Operation Zero 的代碼。

三角剖分行動 (Operation Triangulation)

Google 研究人員週二寫道，兩個特定的 Coruna 漏洞利用程式及其底層漏洞（被原始開發者稱為 Photon 和 Gallium），曾作為零日漏洞被用於「三角剖分行動」（Operation Triangulation）。這是一場據稱針對俄羅斯 iPhone 用戶的複雜駭客行動，最早由卡巴斯基（Kaspersky）於 2023 年揭露。

iVerify 聯合創始人 Rocky Cole 告訴 TechCrunch，「根據目前已知資訊的最佳解釋」指向 Trenchant 和美國政府是 Coruna 的原始開發者和客戶。不過 Cole 補充說，他並非「蓋棺論定」地聲稱這一點。

他表示，這項評估基於三個因素：Coruna 的使用時間線與 Williams 的洩密事件吻合；Coruna 中發現的三個模組（Plasma、Photon 和 Gallium）的結構與「三角剖分行動」具有高度相似性；且 Coruna 重複使用了該行動中使用的部分漏洞利用程式。

根據 Cole 的說法，「接近國防界的人士」聲稱 Plasma 被用於「三角剖分行動」，「儘管目前還沒有公開證據證明這一點」。（Cole 此前曾在美國國家安全局工作。）

根據 Google 和 iVerify 的說法，Coruna 旨在駭入運行 iOS 13 到 17.2.1 版本的 iPhone 機型，這些版本於 2019 年 9 月至 2023 年 12 月期間發布。這些日期與 Williams 的部分洩密時間線以及「三角剖分行動」的發現時間相吻合。

一位前 Trenchant 員工告訴 TechCrunch，當 2023 年「三角剖分行動」首次被揭露時，公司內的其他員工認為卡巴斯基抓獲的至少一個零日漏洞「是來自我們的，且可能是從包含 Coruna 的整體專案中『剝離』出來的」。

正如安全研究員 Costin Raiu 所指出的，另一個指向 Trenchant 的線索是這 23 個工具中有些使用了鳥類名稱，例如 Cassowary（食火雞）、Terrorbird（恐鳥）、Bluebird（藍鳥）、Jacurutu（大角鴞）和 Sparrow（麻雀）。2021 年，《華盛頓郵報》揭露 Azimuth（後來被 L3Harris 收購並併入 Trenchant 的兩家新創公司之一）曾在著名的聖貝納迪諾 iPhone 破解案中，向 FBI 出售了一款名為 Condor（禿鷹）的駭客工具。

在卡巴斯基發布關於「三角剖分行動」的研究後，俄羅斯聯邦安全局（FSB）指責美國國家安全局（NSA）駭入了俄羅斯境內「數千部」iPhone，特別是針對外交官。卡巴斯基發言人當時表示，該公司沒有關於 FSB 指控的資訊。該發言人確實指出，俄羅斯國家電腦事件協調中心（NCCCI）識別出的「入侵指標」（即駭客攻擊的證據），與卡巴斯基識別出的指標相同。

卡巴斯基安全研究員 Boris Larin 在給 TechCrunch 的電子郵件中表示：「儘管我們進行了廣泛研究，但我們無法將『三角剖分行動』歸因於任何已知的 [進階持續性威脅] 組織或漏洞開發公司。」

Larin 解釋說，Google 將 Coruna 與「三角剖分行動」聯繫起來，是因為它們都利用了相同的兩個漏洞——Photon 和 Gallium。

「歸因不能僅基於利用這些漏洞的事實。這兩個漏洞的所有細節早已公開，」因此任何人都可以利用它們，他補充說，這兩個共享漏洞「只是冰山一角」。

卡巴斯基從未公開指責美國政府是「三角剖分行動」的幕後黑手。有趣的是，該公司為該行動設計的標誌——一個由多個三角形組成的蘋果標誌——讓人聯想到 L3Harris 的標誌。這可能並非巧合。卡巴斯基此前曾表示，它不會公開歸因某場駭客行動，但會私下發出信號，暗示它實際上知道幕後黑手是誰，或者誰提供了工具。

2014 年，卡巴斯基宣布抓獲了一個名為「Careto」（西班牙語意為「面具」）的複雜且難以捉摸的政府駭客組織。該公司當時僅表示駭客說西班牙語。但該公司在報告中使用的面具插圖包含了西班牙國旗的紅黃兩色、牛角、鼻環和響板。

正如 TechCrunch 去年揭露的那樣，卡巴斯基研究人員私下得出的結論是，正如其中一人所說，「毫無疑問」Careto 是由西班牙政府運作的。

週三，網路安全記者 Patrick Gray 在其播客節目《Risky Business》中表示，根據他有信心的「零碎資訊」，他認為 Williams 洩露給 Operation Zero 的正是「三角剖分行動」中使用的駭客工具包。

蘋果、Google、卡巴斯基和 Operation Zero 均未回應置評請求。