一場(chǎng)針對(duì)烏克蘭和中國(guó) iPhone 用戶的大規(guī)模黑客行動(dòng)中所使用的攻擊工具，被曝光很可能出自美國(guó)軍工承包商 L3Harris 的內(nèi)部項(xiàng)目。該工具原本為西方情報(bào)機(jī)構(gòu)定制，但最終落入俄羅斯情報(bào)部門和中國(guó)網(wǎng)絡(luò)犯罪團(tuán)伙之手，引發(fā)對(duì)軍工網(wǎng)絡(luò)武器外泄風(fēng)險(xiǎn)的高度關(guān)注。

Google上周披露，在 2025 年間發(fā)現(xiàn)一套復(fù)雜的 iPhone 攻擊工具包被用于多輪全球攻擊。這套工具包被原始開發(fā)者命名為 “Coruna”，由 23 個(gè)不同組件組成，起初被某個(gè)未具名的政府客戶在“高度定點(diǎn)行動(dòng)”中使用，隨后被俄羅斯政府支持的間諜用于攻擊少量烏克蘭目標(biāo)，最終又被中國(guó)的網(wǎng)絡(luò)犯罪分子在大規(guī)模行動(dòng)中利用，以竊取資金和加密貨幣。 移動(dòng)安全公司 iVerify 獨(dú)立分析后判斷，該工具很可能最初由一家向美國(guó)政府出售產(chǎn)品的公司開發(fā)。

兩名曾在 L3Harris 黑客與監(jiān)控技術(shù)部門 Trenchant 供職的前員工向媒體證實(shí)，Coruna 至少部分組件由 Trenchant 開發(fā)，他們都直接接觸過公司研發(fā)的 iPhone 攻擊工具。兩人要求匿名，稱“Coruna 確實(shí)是內(nèi)部某組件的代號(hào)”，并表示Google公開的技術(shù)細(xì)節(jié)“非常眼熟”。 其中一名前員工稱，Trenchant 的整體工具包中包含多個(gè)組件和利用程序，Coruna 就是其中之一。

公開信息顯示，L3Harris 通過 Trenchant 向美國(guó)政府及其“五眼聯(lián)盟”盟友出售黑客和監(jiān)控工具，客戶范圍僅限美國(guó)、英國(guó)、加拿大、澳大利亞和新西蘭的情報(bào)機(jī)構(gòu)。 在客戶高度受限的前提下，Coruna 被認(rèn)為極有可能是首先被其中一國(guó)情報(bào)部門采購(gòu)并使用，之后才以某種方式流出，進(jìn)入其他行為體之手。目前尚不清楚已曝光的 Coruna 工具集中究竟有多少代碼直接源自 L3Harris Trenchant。

Coruna 的跨國(guó)擴(kuò)散軌跡，與 Trenchant 前總經(jīng)理彼得·威廉姆斯（Peter Williams）泄露網(wǎng)絡(luò)武器一案高度相似。公開案情顯示，2022 年至 2025 年中期，威廉姆斯向俄羅斯公司 Operation Zero 出售了八個(gè) Trenchant 攻擊工具，獲利約 130 萬(wàn)美元。美國(guó)政府指控他利用對(duì) Trenchant 內(nèi)網(wǎng)的“完全訪問權(quán)限”，竊取這些可攻擊“全球數(shù)以百萬(wàn)計(jì)電腦和設(shè)備”的工具，被認(rèn)定為“背叛”美國(guó)及其盟友。 威廉姆斯今年 2 月被判處 7 年監(jiān)禁，而 Operation Zero 也已遭美國(guó)財(cái)政部制裁。

美國(guó)財(cái)政部披露，Operation Zero 聲稱只與俄羅斯政府和本國(guó)企業(yè)合作，但官方認(rèn)定其將威廉姆斯竊取的工具至少出售給“一名未經(jīng)授權(quán)的用戶”。 Google的調(diào)查顯示，俄羅斯間諜組織 UNC6353 正是通過不明渠道獲得 Coruna，并將其植入被攻陷的烏克蘭網(wǎng)站，定向攻擊來自特定地理位置、使用 iPhone 訪問這些網(wǎng)站的用戶。 有分析認(rèn)為，Operation Zero 在轉(zhuǎn)賣給俄羅斯官方后，可能繼續(xù)將工具轉(zhuǎn)售給其它經(jīng)紀(jì)人、國(guó)家甚至直接出售給網(wǎng)絡(luò)犯罪團(tuán)伙。美國(guó)在起訴文件中還提到，勒索軟件團(tuán)伙 Trickbot 成員曾與 Operation Zero 合作，將這一經(jīng)紀(jì)人與謀取經(jīng)濟(jì)利益的黑客網(wǎng)絡(luò)聯(lián)系起來。

據(jù)美國(guó)檢方披露，威廉姆斯曾認(rèn)出自己編寫并賣給 Operation Zero 的代碼，后來出現(xiàn)在一家韓國(guó)中間商手中。這也為 Coruna 如何最終流向中國(guó)黑客提供了可能路徑：在多輪轉(zhuǎn)賣和代碼再利用中，工具從政府情報(bào)圈層逐步擴(kuò)散至更廣泛的黑產(chǎn)生態(tài)。

Google研究人員指出，Coruna 中名為 “Photon” 和 “Gallium” 的兩個(gè)具體漏洞利用組件，被作為零日漏洞武器，應(yīng)用于一場(chǎng)名為“Operation Triangulation（“三角行動(dòng)”）”的精密攻擊行動(dòng)中，該行動(dòng)被認(rèn)為針對(duì)的是俄羅斯境內(nèi) iPhone 用戶。早在 2023 年，卡巴斯基實(shí)驗(yàn)室就首次披露了“三角行動(dòng)”。 iVerify 聯(lián)合創(chuàng)始人 Rocky Cole 稱，綜合目前公開信息，“最合理的解釋”是 Coruna 的原始開發(fā)者與客戶分別是 Trenchant 和美國(guó)政府，但他強(qiáng)調(diào)這一判斷尚非“絕對(duì)定論”。

Cole 的判斷基于三點(diǎn)：其一，Coruna 的使用時(shí)間線與威廉姆斯泄密案高度重疊；其二，Coruna 中三大模塊 “Plasma”“Photon”“Gallium” 的結(jié)構(gòu)與“三角行動(dòng)”中觀測(cè)到的模塊十分相似；其三，Coruna 重用了一些在該行動(dòng)中已經(jīng)使用過的攻擊代碼。 他還透露，來自“接近防務(wù)圈人士”的消息稱，“Plasma” 模塊也曾被用于“三角行動(dòng)”，但目前并無公開證據(jù)支持這一點(diǎn)。Cole 本人曾供職于美國(guó)國(guó)家安全局（NSA）。

Google和 iVerify 的技術(shù)分析顯示，Coruna 被設(shè)計(jì)用來攻擊運(yùn)行 iOS 13 至 iOS 17.2.1 的 iPhone，覆蓋了從 2019 年 9 月到 2023 年 12 月間發(fā)布的一系列系統(tǒng)版本。這一時(shí)間跨度，同樣與威廉姆斯泄露工具的時(shí)間線和“三角行動(dòng)”的發(fā)現(xiàn)時(shí)間相吻合。 一名前 Trenchant 員工回憶，當(dāng) 2023 年卡巴斯基首次公開“三角行動(dòng)”時(shí)，公司內(nèi)部不少人認(rèn)為，至少有一個(gè)被捕獲的零日漏洞“出自我們”，并可能是從包含 Coruna 的整體項(xiàng)目中被“剝離”出來投入使用。

安全研究員 Costin Raiu 也在社交平臺(tái)上指出，Coruna 工具中多項(xiàng)組件以鳥類命名，如 Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrow 等，這與 Trenchant 的技術(shù)傳承存在隱性關(guān)聯(lián)。早在 2021 年，《華盛頓郵報(bào)》就報(bào)道，后來被 L3Harris 收購(gòu)并并入 Trenchant 的安全公司 Azimuth 曾向美國(guó)聯(lián)邦調(diào)查局（FBI）出售一款名為 Condor 的 iPhone 破解工具，用于著名的圣貝納迪諾槍擊案 iPhone 解鎖事件。

在“三角行動(dòng)”曝光后，俄羅斯聯(lián)邦安全局（FSB）指責(zé)美國(guó)國(guó)家安全局利用該工具入侵俄羅斯境內(nèi)“數(shù)千部 iPhone”，重點(diǎn)針對(duì)外交官等目標(biāo)?？ò退够?dāng)時(shí)表示，自己并不掌握 FSB 指控細(xì)節(jié)，但指出俄羅斯國(guó)家網(wǎng)絡(luò)事件協(xié)調(diào)中心（NCCCI）公開的“入侵指示器”與卡巴斯基此前識(shí)別的證據(jù)一致。 然而，卡巴斯基安全研究員 Boris Larin 表示，即便經(jīng)過大量研究，依然無法將“三角行動(dòng)”歸因于任何已知高級(jí)持續(xù)性威脅（APT）組織或漏洞開發(fā)公司。

Larin 解釋稱，Google之所以將 Coruna 與“三角行動(dòng)”關(guān)聯(lián)，是因?yàn)槎叨祭昧?Photon 和 Gallium 這兩個(gè)相同漏洞。但僅憑共享漏洞本身并不足以完成歸因，因?yàn)檫@兩枚漏洞細(xì)節(jié)已長(zhǎng)期公開，任何一方都可能據(jù)此開發(fā)各自的攻擊鏈。他強(qiáng)調(diào)，這兩處共同漏洞“只是冰山一角”。 值得一提的是，盡管卡巴斯基從未公開指控美國(guó)政府是“三角行動(dòng)”的幕后黑手，但該公司為此次行動(dòng)設(shè)計(jì)的、由多個(gè)三角形構(gòu)成的蘋果 Logo，與 L3Harris 的品牌 Logo 在視覺上頗為相似，有觀點(diǎn)認(rèn)為這是卡巴斯基慣常使用的“視覺暗示”手法。

卡巴斯基過去的做法似乎印證了這一推測(cè)。2014 年，該公司披露了一個(gè)名為 “Careto”（意為“面具”）的高級(jí)政府黑客組織，只提到攻擊者使用西班牙語(yǔ)，但在報(bào)告中使用的面具插畫加入了西班牙國(guó)旗的紅黃配色、公牛角和鼻環(huán)、響板等元素，被認(rèn)為是在暗示攻擊者與西班牙政府有關(guān)。 正如后來有報(bào)道援引卡巴斯基內(nèi)部人士說法稱，研究團(tuán)隊(duì)私下認(rèn)為“毫無疑問”，Careto 就是由西班牙政府主導(dǎo)的行動(dòng)。

圍繞 Coruna 的爭(zhēng)議也引發(fā)媒體持續(xù)追蹤。網(wǎng)絡(luò)安全記者 Patrick Gray 在本周的播客節(jié)目《Risky Business》中表示，基于他掌握且有把握的“零碎情報(bào)”，威廉姆斯賣給 Operation Zero 的，正是“三角行動(dòng)”中所使用的那套攻擊框架。 目前，蘋果、Google、卡巴斯基以及 Operation Zero 均未就此作出公開回應(yīng)。