iPhone漏洞 Coruna相关内容

相关网站链接（以下内容均豆包AI翻译，观点仅供参考）:https://techcrunch.com/2026/03/10/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine/?sharetype=link
美国军工承包商或为俄间谍打造了在乌使用的iPhone黑客工具

作者：洛伦佐·弗朗西斯科伊-比基亚雷利
发布时间：2026年3月10日 太平洋夏令时上午10点44分
图片来源：克里斯·荣/努尔照片/盖蒂图片社

《科技博客》获悉，一系列针对乌克兰和中国iPhone用户的大规模黑客攻击行动，所使用的工具疑似由美国军工承包商L3Harris公司开发。这些原本为西方情报机构打造的工具，最终落入包括俄罗斯政府特工、中国网络犯罪分子在内的多个黑客组织手中。

上周，谷歌披露，其在2025年全年监测到一款精密的iPhone黑客工具包被用于多起全球攻击事件。这款由原开发者命名为“科鲁尼亚”（Coruna）的工具包包含23个独立组件，最初由某家监控技术供应商的匿名政府客户用于“高度定向的行动”，随后被俄罗斯政府特工用于针对少数乌克兰人，最终又被中国网络犯罪分子用于大规模攻击，目的是盗取资金与加密货币。

移动网络安全公司iVerify对科鲁尼亚开展了独立分析，其研究人员表示，该工具包的原始开发方疑似为一家向美国政府出售产品的企业。

L3Harris公司的两名前员工向《科技博客》证实，科鲁尼亚至少有部分组件由该公司旗下的黑客与监控技术部门特伦琴特（Trenchant）开发。这两名员工均了解公司的iPhone黑客工具相关情况，因未获授权披露工作内容，二人均要求匿名受访。

一名曾在特伦琴特负责iPhone黑客工具相关工作的L3Harris前员工称：“科鲁尼亚绝对是公司内部的一个组件名称。”

该员工还表示，对照谷歌公布的相关证据，“诸多技术细节都十分眼熟”。

其透露，特伦琴特的核心工具包中包含多个组件，科鲁尼亚及相关漏洞利用程序均在其中。另一名前员工也证实，公开披露的这款黑客工具包中，有部分细节源自特伦琴特。

L3Harris仅将特伦琴特开发的黑客与监控工具出售给美国政府，以及由澳大利亚、加拿大、新西兰、英国组成的五眼联盟情报盟友 。鉴于特伦琴特的客户范围有限，科鲁尼亚最初大概率由其中某个国家的情报机构获取并使用，之后才落入非授权方手中，目前尚无法确定该工具包中有多少内容由L3Harris旗下的特伦琴特开发。

截至发稿，L3Harris公司发言人未对相关置评请求作出回应。

辗转多国的iPhone黑客工具包

科鲁尼亚如何从五眼联盟相关军工承包商手中，流入俄罗斯政府黑客组织，最终又落到中国网络犯罪团伙手中，目前仍无明确答案。

但这一过程的部分情节，与特伦琴特前总经理彼得·威廉姆斯的案件高度相似。2022年至2025年年中辞职期间，威廉姆斯向俄罗斯零日漏洞交易公司“零度行动”（Operation Zero）出售了8款公司开发的黑客工具。所谓零日漏洞，即被攻击方尚未发现的软件安全漏洞 。

这位39岁的澳大利亚公民因承认以130万美元的价格，向零度行动出售8款特伦琴特的黑客工具，于上月被判处7年有期徒刑。

美国政府表示，威廉姆斯利用自己能“完全访问”特伦琴特内部网络的权限，“背叛”了美国及其盟友。检察官指控，其泄露的工具可能让使用者“侵入全球数百万台计算机和设备”，暗示这些工具利用了iOS等主流软件的安全漏洞。

零度行动已于上月受到美国政府制裁，该公司声称仅为俄罗斯政府及本土企业服务。美国财政部指出，这家俄罗斯中间商将威廉姆斯盗取的工具，转售给了“至少一名非授权使用者”。

这一行为或解释了谷歌标注为UNC6353的俄罗斯间谍组织，为何能获取科鲁尼亚并将其部署在遭入侵的乌克兰网站上：当特定地理位置的iPhone用户无意间访问这些恶意网站时，便会遭到黑客攻击。

零度行动获取科鲁尼亚后，大概率先出售给俄罗斯政府，之后又将该工具包转售给其他方，可能是另一家中间商、其他国家，甚至直接卖给网络犯罪分子。美国财政部还指控，勒索软件团伙“诡计机器人”（Trickbot）的一名成员与零度行动存在合作，这也将该中间商与以牟利为目的的黑客群体关联起来。

科鲁尼亚或许经多次转手后最终落入中国黑客手中。美国检察官透露，威廉姆斯曾发现，自己编写并出售给零度行动的代码，后续出现在了一名韩国中间商的手中。

（配图：卡巴斯基为“三角测量行动”设计的标识与L3Harris公司标识并列）
图片来源：卡巴斯基、L3Harris

三角测量行动

谷歌研究人员于本周二指出，科鲁尼亚工具包中的两个特定漏洞利用程序——原开发者命名为“光子”（Photon）和“镓”（Gallium）的底层漏洞，曾作为零日漏洞被用于“三角测量行动”。这一精密的黑客攻击行动据称针对俄罗斯的iPhone用户，最早由卡巴斯基实验室于2023年曝光。

iVerify联合创始人洛基·科尔向《科技博客》表示，“基于目前已知信息，最合理的解释”是特伦琴特为科鲁尼亚的原始开发方，美国政府为其最初客户，但他同时强调，这一结论并非“最终定论”。

科尔称，该判断基于三大依据：科鲁尼亚的使用时间线与威廉姆斯的泄密行为高度吻合；科鲁尼亚中“等离子体”（Plasma）、光子、镓三大模块的架构，与三角测量行动所使用工具高度相似；科鲁尼亚复用了该行动中部分漏洞利用程序。

科尔还透露，“接近国防领域的相关人士”称，等离子体模块也曾被用于三角测量行动，“尽管目前尚无公开证据佐证”。值得一提的是，科尔曾在美国国家安全局任职。

据谷歌与iVerify的调查，科鲁尼亚的攻击目标为运行iOS 13至iOS 17.2.1系统的iPhone机型，这些系统的发布时间介于2019年9月至2023年12月之间，该时间范围与威廉姆斯的部分泄密行为、三角测量行动的曝光时间均相契合。

一名特伦琴特前员工向《科技博客》表示，2023年三角测量行动首次被曝光时，公司多名员工认为，卡巴斯基发现的零日漏洞中，至少有一个“出自本公司，且疑似从包含科鲁尼亚的总项目中被剥离出来”。

安全研究员科斯汀·拉尤指出，另一个指向特伦琴特的线索是，科鲁尼亚的23个组件中，有多个以鸟类命名，如食火鸡、恐鸟、蓝鸟、雅库鲁图鸟、麻雀等。2021年《华盛顿邮报》曾披露，被L3Harris收购并整合进特伦琴特的两家初创公司之一“方位角”（Azimuth），曾在著名的圣贝纳迪诺iPhone破解案中，向美国联邦调查局出售过一款名为“秃鹫”（Condor）的黑客工具。

卡巴斯基发布三角测量行动相关研究后，俄罗斯联邦安全局指控美国国家安全局入侵了俄罗斯“数千部”iPhone，且重点针对外交官群体。卡巴斯基发言人当时表示，公司暂无相关证据证实俄联邦安全局的指控，但同时指出，俄罗斯国家计算机事件协调中心识别出的黑客攻击“受害标识”，与卡巴斯基发现的标识完全一致。

卡巴斯基安全研究员鲍里斯·拉林在给《科技博客》的邮件中表示，“尽管开展了大量研究，但我们仍无法将三角测量行动归属于任何已知的高级持续性威胁组织或漏洞开发企业”。

拉林解释称，谷歌将科鲁尼亚与三角测量行动关联，是因为二者利用了光子和镓这两个相同的漏洞，但“不能仅凭利用相同漏洞这一事实就判定归属”，这两个漏洞的所有技术细节早已公开，任何人都可能加以利用。他还表示，这两个共同漏洞“只是冰山一角”。

卡巴斯基从未公开指控美国政府是三角测量行动的幕后主使，但耐人寻味的是，该公司为这一行动设计的标识——由多个三角形拼成的苹果图案，与L3Harris的公司标识高度相似，而特伦琴特的标识本身也由两个三角形构成。这一巧合或许并非偶然：卡巴斯基此前曾有过类似做法，即不公开指明黑客行动的幕后方，却通过细节暗中暗示其已知晓行动主使或工具提供方。

2014年，卡巴斯基曝光了一个代号为“卡雷托”（Careto，西班牙语意为“面具”）的精密隐秘政府黑客组织，当时仅透露该组织的黑客使用西班牙语。但该公司在报告中使用的面具插图，融入了西班牙国旗的红黄配色、牛角、鼻环和响板等元素。

《科技博客》去年曾披露，卡巴斯基研究人员当时私下已得出结论，用其中一名研究人员的话来说，“毫无疑问”卡雷托组织由西班牙政府操控。

网络安全记者帕特里克·格雷在本周三的《风险业务》播客中表示，基于自己掌握的“多方确凿线索”，他认为威廉姆斯泄露给零度行动的工具，正是用于三角测量行动的黑客工具包。

截至发稿，苹果、谷歌及零度行动均未对相关置评请求作出回应。

本文主题：苹果、中国、网络犯罪、网络安全、间谍活动、独家报道、黑客、iPhone、卡巴斯基、L3Harris、三角测量行动、彼得·威廉姆斯、俄罗斯、安全、特伦琴特