美军承包商疑为俄国大规模iPhone攻击行动的工具源头

一场针对乌克兰和中国 iPhone 用户的大规模黑客行动中所使用的攻击工具，被曝光很可能出自美国军工承包商 L3Harris 的内部项目。该工具原本为西方情报机构定制，但最终落入俄罗斯情报部门和中国网络犯罪团伙之手，引发对军工网络武器外泄风险的高度关注。

Google上周披露，在 2025 年间发现一套复杂的 iPhone 攻击工具包被用于多轮全球攻击。这套工具包被原始开发者命名为 “Coruna”，由 23 个不同组件组成，起初被某个未具名的政府客户在“高度定点行动”中使用，随后被俄罗斯政府支持的间谍用于攻击少量乌克兰目标，最终又被中国的网络犯罪分子在大规模行动中利用，以窃取资金和加密货币。 移动安全公司 iVerify 独立分析后判断，该工具很可能最初由一家向美国政府出售产品的公司开发。

两名曾在 L3Harris 黑客与监控技术部门 Trenchant 供职的前员工向媒体证实，Coruna 至少部分组件由 Trenchant 开发，他们都直接接触过公司研发的 iPhone 攻击工具。两人要求匿名，称“Coruna 确实是内部某组件的代号”，并表示Google公开的技术细节“非常眼熟”。 其中一名前员工称，Trenchant 的整体工具包中包含多个组件和利用程序，Coruna 就是其中之一。

公开信息显示，L3Harris 通过 Trenchant 向美国政府及其“五眼联盟”盟友出售黑客和监控工具，客户范围仅限美国、英国、加拿大、澳大利亚和新西兰的情报机构。 在客户高度受限的前提下，Coruna 被认为极有可能是首先被其中一国情报部门采购并使用，之后才以某种方式流出，进入其他行为体之手。目前尚不清楚已曝光的 Coruna 工具集中究竟有多少代码直接源自 L3Harris Trenchant。

Coruna 的跨国扩散轨迹，与 Trenchant 前总经理彼得·威廉姆斯（Peter Williams）泄露网络武器一案高度相似。公开案情显示，2022 年至 2025 年中期，威廉姆斯向俄罗斯公司 Operation Zero 出售了八个 Trenchant 攻击工具，获利约 130 万美元。美国政府指控他利用对 Trenchant 内网的“完全访问权限”，窃取这些可攻击“全球数以百万计电脑和设备”的工具，被认定为“背叛”美国及其盟友。 威廉姆斯今年 2 月被判处 7 年监禁，而 Operation Zero 也已遭美国财政部制裁。

美国财政部披露，Operation Zero 声称只与俄罗斯政府和本国企业合作，但官方认定其将威廉姆斯窃取的工具至少出售给“一名未经授权的用户”。 Google的调查显示，俄罗斯间谍组织 UNC6353 正是通过不明渠道获得 Coruna，并将其植入被攻陷的乌克兰网站，定向攻击来自特定地理位置、使用 iPhone 访问这些网站的用户。 有分析认为，Operation Zero 在转卖给俄罗斯官方后，可能继续将工具转售给其它经纪人、国家甚至直接出售给网络犯罪团伙。美国在起诉文件中还提到，勒索软件团伙 Trickbot 成员曾与 Operation Zero 合作，将这一经纪人与谋取经济利益的黑客网络联系起来。

据美国检方披露，威廉姆斯曾认出自己编写并卖给 Operation Zero 的代码，后来出现在一家韩国中间商手中。这也为 Coruna 如何最终流向中国黑客提供了可能路径：在多轮转卖和代码再利用中，工具从政府情报圈层逐步扩散至更广泛的黑产生态。

Google研究人员指出，Coruna 中名为 “Photon” 和 “Gallium” 的两个具体漏洞利用组件，被作为零日漏洞武器，应用于一场名为“Operation Triangulation（“三角行动”）”的精密攻击行动中，该行动被认为针对的是俄罗斯境内 iPhone 用户。早在 2023 年，卡巴斯基实验室就首次披露了“三角行动”。 iVerify 联合创始人 Rocky Cole 称，综合目前公开信息，“最合理的解释”是 Coruna 的原始开发者与客户分别是 Trenchant 和美国政府，但他强调这一判断尚非“绝对定论”。

Cole 的判断基于三点：其一，Coruna 的使用时间线与威廉姆斯泄密案高度重叠；其二，Coruna 中三大模块 “Plasma”“Photon”“Gallium” 的结构与“三角行动”中观测到的模块十分相似；其三，Coruna 重用了一些在该行动中已经使用过的攻击代码。 他还透露，来自“接近防务圈人士”的消息称，“Plasma” 模块也曾被用于“三角行动”，但目前并无公开证据支持这一点。Cole 本人曾供职于美国国家安全局（NSA）。

Google和 iVerify 的技术分析显示，Coruna 被设计用来攻击运行 iOS 13 至 iOS 17.2.1 的 iPhone，覆盖了从 2019 年 9 月到 2023 年 12 月间发布的一系列系统版本。这一时间跨度，同样与威廉姆斯泄露工具的时间线和“三角行动”的发现时间相吻合。 一名前 Trenchant 员工回忆，当 2023 年卡巴斯基首次公开“三角行动”时，公司内部不少人认为，至少有一个被捕获的零日漏洞“出自我们”，并可能是从包含 Coruna 的整体项目中被“剥离”出来投入使用。

安全研究员 Costin Raiu 也在社交平台上指出，Coruna 工具中多项组件以鸟类命名，如 Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrow 等，这与 Trenchant 的技术传承存在隐性关联。早在 2021 年，《华盛顿邮报》就报道，后来被 L3Harris 收购并并入 Trenchant 的安全公司 Azimuth 曾向美国联邦调查局（FBI）出售一款名为 Condor 的 iPhone 破解工具，用于著名的圣贝纳迪诺枪击案 iPhone 解锁事件。

在“三角行动”曝光后，俄罗斯联邦安全局（FSB）指责美国国家安全局利用该工具入侵俄罗斯境内“数千部 iPhone”，重点针对外交官等目标。卡巴斯基当时表示，自己并不掌握 FSB 指控细节，但指出俄罗斯国家网络事件协调中心（NCCCI）公开的“入侵指示器”与卡巴斯基此前识别的证据一致。 然而，卡巴斯基安全研究员 Boris Larin 表示，即便经过大量研究，依然无法将“三角行动”归因于任何已知高级持续性威胁（APT）组织或漏洞开发公司。

Larin 解释称，Google之所以将 Coruna 与“三角行动”关联，是因为二者都利用了 Photon 和 Gallium 这两个相同漏洞。但仅凭共享漏洞本身并不足以完成归因，因为这两枚漏洞细节已长期公开，任何一方都可能据此开发各自的攻击链。他强调，这两处共同漏洞“只是冰山一角”。 值得一提的是，尽管卡巴斯基从未公开指控美国政府是“三角行动”的幕后黑手，但该公司为此次行动设计的、由多个三角形构成的苹果 Logo，与 L3Harris 的品牌 Logo 在视觉上颇为相似，有观点认为这是卡巴斯基惯常使用的“视觉暗示”手法。

卡巴斯基过去的做法似乎印证了这一推测。2014 年，该公司披露了一个名为 “Careto”（意为“面具”）的高级政府黑客组织，只提到攻击者使用西班牙语，但在报告中使用的面具插画加入了西班牙国旗的红黄配色、公牛角和鼻环、响板等元素，被认为是在暗示攻击者与西班牙政府有关。 正如后来有报道援引卡巴斯基内部人士说法称，研究团队私下认为“毫无疑问”，Careto 就是由西班牙政府主导的行动。

围绕 Coruna 的争议也引发媒体持续追踪。网络安全记者 Patrick Gray 在本周的播客节目《Risky Business》中表示，基于他掌握且有把握的“零碎情报”，威廉姆斯卖给 Operation Zero 的，正是“三角行动”中所使用的那套攻击框架。 目前，苹果、Google、卡巴斯基以及 Operation Zero 均未就此作出公开回应。