美國軍事承包商疑似開發了俄羅斯間諜在烏克蘭使用的 iPhone 駭客工具

TechCrunch 獲悉，一場針對烏克蘭和中國 iPhone 用戶的大規模駭客行動，使用了極可能由美國軍事承包商 L3Harris 所設計的工具。這些原意提供給西方間諜使用的工具，最終落入了包括俄羅斯政府特工和中國網路犯罪分子在內的各個駭客組織手中。

上週，Google 透露在 2025 年期間，發現一套複雜的 iPhone 駭客工具包被用於一系列全球攻擊。這套工具包被其原始開發者命名為「Coruna」，由 23 個不同的組件構成，最初由某家未具名「監控供應商」的政府客戶用於「高度針對性的行動」。隨後，俄羅斯政府間諜利用它對付少數烏克蘭人，最後則被中國網路犯罪分子用於以竊取金錢和加密貨幣為目的的「大規模」行動。

獨立分析 Coruna 的行動網路安全公司 iVerify 研究人員表示，他們認為這套工具最初可能是由一家將其出售給美國政府的公司所開發。

兩名政府承包商 L3Harris 的前員工告訴 TechCrunch，Coruna 至少有部分是由該公司的駭客與監控技術部門 Trenchant 所開發。這兩名前員工都對公司的 iPhone 駭客工具有所了解。由於未獲授權討論其在公司的工作內容，兩人均要求匿名。

「Coruna 絕對是其中一個組件的內部名稱，」一名熟悉 Trenchant iPhone 駭客工具的前 L3Harris 員工表示。

該人士在提到 Google 發布的部分證據時說：「看著這些技術細節，很多都非常眼熟。」

聯繫我們

這位前員工表示，Trenchant 的整體工具包包含多個不同組件，包括 Coruna 及其相關漏洞利用程式（exploits）。另一位前員工也證實，公開的駭客工具包中包含的部分細節確實出自 Trenchant。

L3Harris 僅將 Trenchant 的駭客與監控工具出售給美國政府及其所謂「五眼聯盟」（Five Eyes）情報聯盟的盟友，包括澳洲、加拿大、紐西蘭和英國。鑑於 Trenchant 的客戶數量有限，Coruna 有可能最初是由這些政府的情報機構之一採購並使用，隨後才落入非預期的對象手中，儘管目前尚不清楚公開的 Coruna 駭客工具包中有多少比例是由 L3Harris Trenchant 開發的。

L3Harris 的發言人未回應置評請求。

跨國流竄的 iPhone 駭客工具包

Coruna 是如何從五眼聯盟政府承包商手中流向俄羅斯政府駭客組織，再流向中國網路犯罪集團的，目前尚不明朗。

但部分情況似乎與 Trenchant 前總經理 Peter Williams 的案件相似。從 2022 年到 2025 年中辭職為止，Williams 將八項公司駭客工具賣給了 Operation Zero。這是一家俄羅斯公司，提供數百萬美元以換取零日漏洞（zero-day exploits），即受影響廠商尚不知曉的漏洞。

現年 39 歲的澳洲公民 Williams 上個月被判處七年監禁，此前他承認竊取並以 130 萬美元的價格將八項 Trenchant 駭客工具出售給 Operation Zero。

美國政府表示，利用「完全存取」Trenchant 網路權限的 Williams「背叛」了美國及其盟友。檢察官指控他洩露的工具可能讓使用者「潛在存取全球數百萬台電腦和設備」，暗示這些工具依賴於影響 iOS 等廣泛使用軟體的漏洞。

上個月受到美國政府制裁的 Operation Zero 聲稱僅與俄羅斯政府和當地公司合作。美國財政部聲稱，這家俄羅斯中間商將 Williams 的「失竊工具賣給了至少一名未經授權的使用者」。

這解釋了 Google 僅識別為 UNC6353 的俄羅斯間諜組織是如何取得 Coruna，並將其部署在受害的烏克蘭網站上，以便駭入來自特定地理位置、無意中訪問該惡意網站的特定 iPhone 用戶。

一旦 Operation Zero 取得 Coruna 並可能將其賣給俄羅斯政府，該中間商有可能再將工具包轉售給其他人，或許是另一個中間商、另一個國家，甚至直接賣給網路犯罪分子。財政部指控 Trickbot 勒索軟體組織的一名成員與 Operation Zero 合作，將該中間商與受金錢利益驅使的駭客聯繫在一起。

在那之後，Coruna 可能轉手多次，直到落入中國駭客手中。根據美國檢察官的說法，Williams 後來在一名南韓中間商使用的代碼中，認出了他編寫並賣給 Operation Zero 的代碼。

三角測量行動 (Operation Triangulation)

Google 研究人員週二寫道，兩個特定的 Coruna 漏洞利用程式及其底層漏洞（被原始開發者稱為 Photon 和 Gallium），在「三角測量行動」中被用作零日漏洞。這是一場據稱針對俄羅斯 iPhone 用戶的複雜駭客行動。三角測量行動最早由卡巴斯基（Kaspersky）於 2023 年揭露。

iVerify 的聯合創始人 Rocky Cole 告訴 TechCrunch，「根據目前已知資訊的最佳解釋」指向 Trenchant 和美國政府是 Coruna 的原始開發者和客戶。不過 Cole 補充說，他並非「蓋棺論定」地這麼主張。

他說，這項評估基於三個因素：Coruna 的使用時間線與 Williams 的洩密時間吻合；Coruna 中發現的三個模組（Plasma、Photon 和 Gallium）的結構與「三角測量」具有高度相似性；且 Coruna 重複使用了該行動中使用的部分漏洞利用程式。

根據 Cole 的說法，「國防界相關人士」聲稱 Plasma 被用於三角測量行動，「儘管目前還沒有公開證據證明這一點」。（Cole 此前曾在美國國家安全局工作。）

根據 Google 和 iVerify 的說法，Coruna 旨在駭入運行 iOS 13 到 17.2.1 版本的 iPhone 型號，這些版本於 2019 年 9 月至 2023 年 12 月期間發布。這些日期與 Williams 的部分洩密時間線以及三角測量行動的發現時間相吻合。

一位 Trenchant 前員工告訴 TechCrunch，當三角測量行動在 2023 年首次被揭露時，公司的其他員工認為卡巴斯基抓到的至少一個零日漏洞「是來自我們的，而且可能是從包含 Coruna 的整體專案中『剝離』出來的」。

安全研究員 Costin Raiu 指出，另一個指向 Trenchant 的線索是這 23 個工具中部分使用了鳥類名稱，如 Cassowary（食火雞）、Terrorbird（恐鳥）、Bluebird（藍鳥）、Jacurutu（大角鴞）和 Sparrow（麻雀）。2021 年，《華盛頓郵報》揭露，後來被 L3Harris 收購並併入 Trenchant 的兩家新創公司之一 Azimuth，曾在著名的聖貝納迪諾 iPhone 破解案中向 FBI 出售了一款名為 Condor（禿鷹）的駭客工具。

在卡巴斯基發布三角測量行動的研究報告後，俄羅斯聯邦安全局（FSB）指責美國國家安全局（NSA）駭入了俄羅斯境內「數千部」iPhone，特別針對外交官。卡巴斯基發言人當時表示，該公司沒有關於 FSB 指控的資訊。該發言人確實指出，俄羅斯國家電腦事件協調中心（NCCCI）識別出的「入侵指標」（即駭客攻擊的證據）與卡巴斯基識別出的相同。

卡巴斯基安全研究員 Boris Larin 在給 TechCrunch 的電子郵件中表示：「儘管我們進行了廣泛的研究，但我們無法將三角測量行動歸因於任何已知的 [進階持續性威脅 (APT)] 組織或漏洞開發公司。」

Larin 解釋說，Google 將 Coruna 與三角測量行動聯繫起來，是因為它們都利用了相同的兩個漏洞——Photon 和 Gallium。

「歸因不能僅基於利用這些漏洞的事實。這兩個漏洞的所有細節早已公開，」因此任何人都可以利用它們，他補充說，這兩個共享漏洞「只是冰山一角」。

卡巴斯基從未公開指責美國政府是三角測量行動的幕後黑手。有趣的是，該公司為該行動設計的標誌——一個由多個三角形組成的蘋果標誌——讓人聯想到 L3Harris 的標誌，而 Trenchant 自己的標誌也是由兩個三角形組成的。這可能並非巧合。卡巴斯基此前曾有過不公開歸因駭客行動，卻暗中發出信號表示其實際知道幕後黑手或工具提供者的先例。

2014 年，卡巴斯基宣布抓獲了一個名為「Careto」（西班牙語意為「面具」）的複雜且難以捉摸的政府駭客組織。該公司當時僅表示駭客說西班牙語。但該公司在報告中使用的面具插圖包含了西班牙國旗的紅黃兩色、牛角、鼻環和響板。

正如 TechCrunch 去年揭露的那樣，卡巴斯基研究人員私下得出的結論是，正如其中一人所言，「毫無疑問」Careto 是由西班牙政府運作的。

週三，網路安全記者 Patrick Gray 在其播客節目《Risky Business》中表示，根據他有信心的「零碎資訊」，他認為 Williams 洩露給 Operation Zero 的正是三角測量行動中使用的駭客工具包。

蘋果、Google 和 Operation Zero 均未回應置評請求。

本貼文最初發布於 3 月 9 日下午 6:56 PT