iPhone黑客工具“Coruna”溯源:美军火商L3Harris或涉其中
据TechCrunch报道,一款名为“Coruna”的iPhone黑客工具被用于针对乌克兰和中国用户的全球性攻击。该工具最初由美国军火承包商L3Harris旗下Trenchant部门开发,原为西方情报机构服务。
Google于2025年发现,该工具包含23个组件,曾被俄罗斯政府间谍用于针对乌克兰用户,后被中国网络犯罪团伙用于大规模窃取资金和加密货币。
两名前L3Harris员工证实,Coruna与Trenchant技术存在关联。其中一人表示,Coruna是Trenchant内部项目的一部分,其技术细节与公司产品高度相似。L3Harris仅向美国政府及其“五眼联盟”成员(澳大利亚、加拿大、新西兰、英国)提供Trenchant产品,因此Coruna最初可能由这些政府情报机构获取,随后流向非授权用户。
前Trenchant高管Peter Williams于2022年至2025年期间,将八种公司黑客工具出售给俄罗斯公司Operation Zero,获利130万美元。Williams于2026年3月被判处七年监禁,美国政府称其“背叛”了美国及其盟友,泄露工具或可使攻击者访问全球数百万设备。
Operation Zero被美国财政部制裁,其声称仅与俄罗斯政府及本地企业合作。美国财政部称,该中介将Williams泄露的工具出售给至少一名未经授权用户。
Google研究人员指出,Coruna中的Photon和Gallium漏洞被用于2023年Kaspersky披露的“Operation Triangulation”攻击活动,该活动针对俄罗斯iPhone用户。Kaspersky未公开归因,但其为该活动设计的logo(由三角形组成的苹果标志)与L3Harris标志相似。
iVerify联合创始人Rocky Cole认为,Coruna最可能源自Trenchant和美国政府,依据包括:Williams泄密时间线吻合,Coruna的Plasma、Photon、Gallium模块与Triangulation高度相似,且部分漏洞重叠。此外,Trenchant曾使用鸟名命名工具,如Cassowary、Terrorbird等,与2021年《华盛顿邮报》曝光的Azimuth公司(后被L3Harris收购)向FBI出售“Condor”工具的命名风格一致。
Kaspersky研究员Boris Larin表示,仅凭漏洞共享无法归因,因为漏洞细节已公开。但Google与iVerify确认,Coruna针对iOS 13至17.2.1系统(2019年9月至2023年12月发布),时间线与Williams泄密及Triangulation发现时间一致。
Apple、Google、Operation Zero未回应置评请求。L3Harris亦未回应。
事件影响
该事件暴露了美国政府授权的网络武器供应链安全漏洞,黑客工具从合法渠道外泄至多个敌对势力及犯罪组织,可能对全球网络安全体系构成系统性风险。
编辑点评
此次Coruna黑客工具的外泄事件,揭示了全球网络武器供应链管理的脆弱性。作为美国军火承包商L3Harris开发的高端监控工具,其本应仅限于五眼联盟国家使用,却通过内部人员泄密、第三方中介转售等途径,最终落入俄罗斯政府间谍及中国网络犯罪团伙手中。这种‘技术漂流’现象,不仅突破了情报共享的地理边界,更挑战了传统意义上的‘合法黑客’与‘非法攻击’之间的界限。
从地缘政治角度看,该事件加剧了美国与俄罗斯、中国之间的数字对抗。一方面,俄罗斯FSB指控NSA在俄境内大规模监控,尽管缺乏直接证据,但Kaspersky发现的攻击特征与美国技术高度契合,可能被用作外交施压工具;另一方面,中国网络犯罪团伙获取此类高级工具,意味着其攻击能力显着提升,可能引发对关键基础设施、金融系统乃至个人隐私的更大威胁。
经济与安全层面,该事件暴露了零日漏洞交易市场的黑暗链条。Operation Zero作为俄罗斯主导的漏洞中介,其与威廉斯的交易表明,国家间网络战已演变为‘技术商品化’模式,漏洞成为可买卖的商品,而美国政府对技术出口的控制力明显不足。未来,此类工具的扩散可能催生更多跨国犯罪集团与国家黑客合作,形成‘混合威胁’新形态。
长期来看,该事件或将推动全球对网络武器监管的讨论。当前缺乏统一的国际法框架约束此类工具的开发与使用,而此次外泄事件可能促使联合国、欧盟或五眼联盟重新评估其对监控技术出口的政策,甚至推动建立类似《化学武器公约》的‘网络武器公约’。同时,苹果和谷歌等科技公司也需加强系统安全,防止类似工具利用已知漏洞长期潜伏。