iPhone黑客工具“Coruna”全球扩散事件曝光:或源自美国军火商L3Harris
谷歌于2025年发现一款名为“Coruna”的iPhone黑客工具被用于全球性攻击,该工具由23个组件构成,最初或由美国军事承包商L3Harris旗下Trenchant部门开发,专供美国政府及“五眼联盟”(包括澳大利亚、加拿大、新西兰、英国)使用。
据移动安全公司iVerify分析,该工具设计用于攻击运行iOS 13至17.2.1版本的iPhone设备(2019年9月至2023年12月发布),其技术特征与L3Harris内部项目高度相似。两名前Trenchant员工匿名证实,Coruna部分组件为公司内部开发,且命名方式(如Cassowary、Terrorbird、Bluebird等鸟类名称)与该公司历史产品一致。2021年《华盛顿邮报》曾披露,L3Harris收购的初创公司Azimuth曾向FBI出售名为“Condor”的黑客工具,用于圣贝纳迪诺案。
该工具最终被俄罗斯政府情报机构UNC6353用于攻击特定地理位置的乌克兰用户,通过恶意网站实现远程入侵。随后,中国网络犯罪团伙在大规模行动中使用Coruna,旨在窃取资金与加密货币。
美国前雇员Peter Williams因向俄罗斯公司Operation Zero出售八项Trenchant黑客工具,于2026年2月被判处七年监禁。美国政府称其行为“背叛”了美国及其盟友,所泄露工具可影响全球数百万设备。Operation Zero被美国财政部制裁,其声称仅与俄罗斯政府及本土企业合作。美国财政部指控该中介将偷窃工具出售给至少一名未经授权用户,可能包括金融动机黑客团伙(如Trickbot)。
谷歌与iVerify指出,Coruna利用了与“Operation Triangulation”相同的零日漏洞——Photon和Gallium。该行动由卡巴斯基于2023年披露,目标为俄罗斯iPhone用户。卡巴斯基未公开指认幕后黑手,但其为该行动设计的徽标(由三角形构成的苹果标志)与L3Harris公司标志相似,引发外界联想。卡巴斯基安全研究员Boris Larin表示,仅凭漏洞重合无法定性归属,因漏洞细节已公开,但“这只是冰山一角”。
前NSA员工、iVerify联合创始人Rocky Cole认为,Coruna最可能源于Trenchant与美国政府,因技术结构、时间线与Williams泄密事件高度吻合。卡巴斯基也未公开指控美国政府,但曾在“Careto”行动中通过隐晦方式暗示西班牙政府背景,以徽标设计(含西班牙国旗颜色、斗牛角等元素)传递信号。
苹果、谷歌、卡巴斯基及Operation Zero均未回应置评请求。
编辑点评
此次Coruna工具链的全球扩散事件,凸显了现代网络武器的高风险性与供应链脆弱性。其核心意义在于,原本仅限于五眼联盟国家使用的政府级黑客工具,通过内部泄密与黑市交易,落入俄罗斯情报机构及中国网络犯罪团伙之手,形成跨国、跨阵营的威胁传导链。这种‘工具泄露—再利用—扩散’模式,已成为全球网络安全治理的严峻挑战。
该事件暴露了美国政府承包商在网络安全管理上的重大漏洞。L3Harris作为关键供应商,其Trenchant部门曾被授予高度机密权限,却因前雇员Williams的泄密行为,导致工具广泛流通。美国财政部对Operation Zero的制裁与对Williams的刑事追责,显示了美国试图遏制此类扩散的意图,但技术已不可逆传播,且难以追溯完整路径。
从地缘政治角度看,该事件加剧了美俄、中美之间的数字信任赤字。俄罗斯FSB指责NSA针对其外交人员的攻击,虽无确凿证据,却借Coruna事件强化了对美国网络霸权的指控。中国黑客使用该工具则可能引发美国对华网络间谍的指责,进一步激化中美数字对抗。同时,卡巴斯基在披露Operating Triangulation时的“隐喻式归因”策略,反映安全研究机构在政治敏感背景下平衡真相与安全的复杂性。
未来,此类事件或将推动各国加强网络武器出口管制、强化承包商内部审计、并推动建立跨国网络武器追踪与问责机制。然而,在零日漏洞成为全球黑市商品的背景下,彻底防止此类扩散难度极高,国际社会需在技术、法律与外交层面协同应对。