文章总结： 文章报道俄罗斯间谍使用的iPhone黑客工具包Coruna极可能源自美国军方承包商L3Harris。前员工证实该工具由其Trenchant部门开发，后因前总经理向俄罗斯经纪商出售而泄露。该工具包不仅被用于针对乌克兰和中国的攻击，还流入了网络犯罪分子手中。研究显示其组件与三角行动高度重合，揭示了美国监控工具流向对手的复杂路径及供应链安全风险。 综合评分： 82 文章分类： 威胁情报,移动安全,安全大事件,漏洞分析,供应链安全

俄罗斯间谍所用iPhone黑客工具包或源自美国军方承包商

原创

天御 天御

天御攻防实验室

2026年3月10日 12:32 广东

声明：本文为翻译

据TechCrunch获悉，一场针对乌克兰和中国iPhone用户的大规模黑客攻击活动所使用的工具，很可能由美国军方承包商L3Harris公司设计。这些原本供西方间谍机构使用的工具，最终落入了包括俄罗斯政府特工和网络犯罪分子在内的多个黑客组织手中。

上周，谷歌披露其在2025年期间发现，一个复杂的iPhone黑客工具包被用于一系列全球性攻击。该工具包的原开发者将其命名为”Coruna”，由23个不同组件构成。这些组件最初由一个未具名的”监控供应商”的某政府客户在”高度针对性的行动”中使用。随后，俄罗斯政府间谍利用该工具包对数量有限的乌克兰人发起攻击，最终网络犯罪分子将其用于旨在窃取资金和加密货币的”大规模”攻击活动。

独立分析Coruna的移动网络安全公司iVerify的研究人员表示，他们认为该工具包最初可能由一家出售给美国政府的公司开发。

美国政府承包商L3Harris公司的两名前雇员告诉TechCrunch，Coruna至少部分是由该公司的黑客与监控技术部门Trenchant开发的。这两名前雇员均了解该公司针对iPhone的黑客工具。由于未获授权谈论其为该公司所做的工作，两人均要求匿名。

“Coruna肯定是一个组件的内部名称，”一位熟悉Trenchant工作中iPhone黑客工具的前L3Harris员工表示。”看看这些技术细节，”该人士在提及谷歌发布的部分证据时说，”有太多熟悉的点了。”

这位前员工表示，Trenchant的总体工具包包含多个不同组件，包括Coruna及相关漏洞利用程序。另一位前员工证实，已公布的黑客工具包中包含的一些细节确实来自Trenchant。

L3Harris仅向美国政府及其在所谓”五眼”情报联盟（包括澳大利亚、加拿大、新西兰和英国）中的盟友独家销售Trenchant的黑客与监控工具。鉴于Trenchant客户数量有限，Coruna有可能最初是由其中一个政府的情报机构获取并使用，之后才意外泄露，但目前尚不清楚已公布的Coruna黑客工具包中有多少是由L3Harris Trenchant开发的。

L3Harris发言人未回应置评请求。

一款辗转全球的iPhone黑客工具包

Coruna如何从”五眼”政府承包商之手，落入俄罗斯政府黑客组织，再到网络犯罪团伙手中，目前尚不清楚。

但某些情况似乎与Trenchant前总经理彼得·威廉姆斯的案件相似。从2022年到2025年年中辞职，威廉姆斯向Operation Zero公司出售了八款公司黑客工具。Operation Zero是一家俄罗斯公司，出价数百万美元收购零日漏洞（即相关供应商未知的漏洞）。

39岁的澳大利亚公民威廉姆斯上月承认窃取并向Operation Zero出售八款Trenchant黑客工具，获利130万美元，被判七年监禁。

美国政府称，利用对Trenchant网络拥有”完全访问权限”的威廉姆斯”背叛”了美国及其盟友。检察官指控他泄露的工具可能使任何使用者”潜在地访问全球数百万台电脑和设备”，暗示这些工具利用了影响iOS等广泛使用软件的漏洞。

上月受到美国政府制裁的Operation Zero声称仅与俄罗斯政府和本土公司合作。美国财政部声称，这家俄罗斯经纪商将威廉姆斯的”被盗工具出售给了至少一名未经授权的用户”。

这将解释谷歌仅标识为UNC6353的俄罗斯间谍组织是如何获得Coruna，并将其部署在被入侵的乌克兰网站上，从而黑客攻击来自特定地理位置、无意中访问该恶意网站的某些iPhone用户。

有可能的是，一旦Operation Zero获得了Coruna并可能将其出售给俄罗斯政府，该经纪商随后又将该工具包转卖给了其他人——或许是另一个经纪商、另一个国家，甚至直接卖给了网络犯罪分子。财政部指控Trickbot勒索软件团伙的一名成员曾与Operation Zero合作，从而将该经纪商与受金钱驱动的黑客联系起来。

那时，Coruna可能几经转手，最终落入黑客手中。据美国检察官称，威廉姆斯认出他编写并出售给Operation Zero的代码，后来被一名韩国经纪商使用。

三角行动

谷歌研究人员周二撰文指出，Coruna的两个特定漏洞利用程序及其底层漏洞（原开发者称之为Photon和Gallium），曾被用作”三角行动”中的零日漏洞。该行动是一项涉嫌针对俄罗斯iPhone用户的复杂黑客攻击活动，由卡巴斯基在2023年首次披露。

iVerify联合创始人罗基·科尔告诉TechCrunch，”基于目前已知情况的最佳解释”指向Trenchant和美国政府是Coruna的原始开发者和客户。不过，科尔补充说，他并非”确定无疑地”断言这一点。

他表示，这一评估基于三个因素：Coruna的使用时间线与威廉姆斯泄密事件吻合；在Coruna中发现的Plasma、Photon和Gallium这三个模块的结构与”三角”行动所用工具高度相似；Coruna重复使用了该行动中使用的一些相同漏洞利用程序。

据科尔称，”接近国防界的人士”声称Plasma被用于”三角行动”，”尽管没有公开证据”。（科尔曾在美国国家安全局工作。）

根据谷歌和iVerify的说法，Coruna旨在黑客攻击运行iOS 13至17.2.1版本（发布于2019年9月至2023年12月间）的iPhone机型。这些日期与威廉姆斯部分泄密事件的时间线以及”三角行动”的发现时间相吻合。

其中一位前Trenchant员工告诉TechCrunch，当2023年”三角”行动首次曝光时，公司的其他员工认为，卡巴斯基捕获的至少一个零日漏洞”来自我们，并且可能是从包含Coruna的总体项目中剥离出来的”。

正如安全研究员科斯丁·拉尤所指出的，另一个指向Trenchant的线索是，23个工具中有一些使用了鸟类名称，如Cassowary（食火鸡）、Terrorbird（恐鸟）、Bluebird（蓝鸟）、Jacurutu（雅库鲁图猫头鹰）和Sparrow（麻雀）。2021年，《华盛顿邮报》披露，后来被L3Harris收购并并入Trenchant的两家初创公司之一Azimuth，在臭名昭著的圣贝纳迪诺iPhone破解案中，曾向FBI出售过一款名为Condor（秃鹫）的黑客工具。

在卡巴斯基公布其对”三角行动”的研究后，俄罗斯联邦安全局指责美国国家安全局在俄罗斯黑客攻击了”数千部”iPhone，尤其针对外交官。卡巴斯基发言人当时表示，公司对联邦安全局的说法没有相关信息。该发言人确实指出，俄罗斯国家计算机事件协调中心识别的”危害指标”与卡巴斯基识别的相同。

卡巴斯基的安全研究员鲍里斯·拉林在一封电子邮件中告诉TechCrunch：”尽管我们进行了广泛研究，但无法将’三角行动’归因于任何已知的高级持续性威胁组织或漏洞利用开发公司。”

拉林解释说，谷歌将Coruna与”三角行动”联系起来，是因为两者都利用了相同的两个漏洞——Photon和Gallium。

“归因不能仅仅基于利用了这些漏洞这一事实。这两个漏洞的所有细节早已公开”，因此任何人都可能利用它们，他补充说，这两个共有的漏洞”只是冰山一角”。

卡巴斯基从未公开指责美国政府是”三角行动”的幕后黑手。有趣的是，该公司为该行动制作的标志——一个由多个三角形组成的苹果标志——让人联想到L3Harris的标志。这可能并非巧合。卡巴斯基此前曾表示，它不会公开归因某个黑客攻击活动，同时会悄悄暗示它实际上知道谁是幕后黑手，或者谁提供了工具。

2014年，卡巴斯基宣布捕获了一个名为”Careto”（西班牙语意为”面具”）的复杂而 elusive 的政府黑客组织。该公司仅表示黑客说西班牙语。但该公司在其报告中使用的面具插图包含了西班牙国旗的红黄两色、公牛角和鼻环以及响板。

正如TechCrunch去年披露的那样，卡巴斯基的研究人员私下得出结论，正如其中一位所说，”毫无疑问”Careto是由西班牙政府操控的。

参考资料：

An iPhone-hacking toolkit used by Russian spies likely came from U.S military contractor

推荐阅读

闲谈

1. 中国网络安全行业出了什么问题？
2. 国内威胁情报行业的五大“悲哀”
3. 对威胁情报行业现状的反思
4. 安全产品的终局
5. 老板，安全不是成本部门！！！

美国网络政策与战略专题

1. 独家解读新版《美国网络战略》释放的危险信号
2. 首发 | 特朗普政府对华网络政策评估
3. 首发 | 美国国防部网络战略的演变
4. 美国政府网络政策观察（第一期） | 美国国防部将腾讯等中国公司列入”涉军企业清单”
5. 特朗普上台，中美会发生网络战吗？
6. 疯狂！美国安会网络官员扬言要对网络攻击者使用致命武力
7. 美军新增10亿美元预算用于对华进攻性网络战
8. 白宫闭门会议：授权美国私营部门进行网络攻击
9. 特朗普政府正在推动授权私营部门进行网络攻击的法案！！
10. 美国公司是我们需要重视的下一个网络威胁

威胁情报

1.威胁情报 – 最危险的网络安全工作 2.威胁情报专栏 | 威胁情报这十年（前传） 3.网络威胁情报的未来 4.情报内生？| 利用威胁情报平台落地网空杀伤链的七种方法 5.威胁情报专栏 | 特别策划 – 网空杀伤链 6.以色列情报机构是如何远程引爆黎巴嫩传呼机的？ 7.对抗零日漏洞的十年（2014～2024） 8.零日漏洞市场现状（2024）

APT

1. XZ计划中的后门手法 – “NOBUS”
2. APT研究顶级会议
3. 十个常见的归因偏见（上）
4. 抓APT的一点故事
5. 揭秘三角行动（Operation Triangulation）一
6. 闲话APT报告生产与消费
7. 一名TAO黑客的网络安全之旅
8. NSA TAO负责人警告私营部门不要搞“黑回去”
9. 我们为什么没有抓到高端APT领导者的荷兰AIVD
10. 抓NSA特种木马的方法
11. 美中央情报局（CIA）网络情报中心

入侵分析与红队攻防

1. 入侵分析与痛苦金字塔
2. 资深红队专家谈EDR的工作原理与规避
3. TTP威胁情报驱动威胁狩猎

天御智库

1. 独家研判：五眼情报机构黑客纷纷浮出水面
2. 美军前出狩猎并不孤单，美国网络外交局优先事项分析
3. 《国际关系中的网络冲突》

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天御攻防实验室 天御 天御《俄罗斯间谍所用iPhone黑客工具包或源自美国军方承包商》