从五眼情报圈到俄罗斯特工：美国军工巨头的iPhone黑客工具如何失控？

Coruna漏洞利用套件与L3Harris武器泄露事件始末。

一、事件起点：一套「流浪」的黑客工具

2026年3月初，谷歌威胁情报团队发布了一份措辞罕见的技术报告，披露了一款代号为「Coruna」的iOS漏洞利用套件。这套工具最初被设计用于西方国家的情报行动，却在2025年全年以不同面目现身于多个截然不同的攻击场景，先后由多个互不关联的威胁行为者使用。

TechCrunch随后的独家调查揭开了更深一层的内幕：两名美国国防承包商L3Harris公司的前雇员分别确认，Coruna至少有相当一部分组件，出自L3Harris旗下专业黑客部门Trenchant的内部研发。这意味着一套原本严格限制在美国及其盟友情报圈内部的顶级攻击工具，已经彻底脱离了原有的管控轨道。

二、Coruna的技术图景

Coruna并非一个单一漏洞，而是一套架构严密的完整攻击框架，由23个独立功能模块构成，覆盖五条完整的漏洞利用链。其攻击目标是运行iOS 13至iOS 17.2.1的苹果设备，对应时间跨度为2019年9月至2023年12月。

在攻击方式上，Coruna采用「水坑攻击」策略：将恶意代码嵌入受害者日常访问的正常网站，用户只需以iPhone打开被植入隐藏iframe的页面，整套攻击链便在后台静默触发，无需任何额外操作。整个过程分为数个阶段：首先运行设备指纹识别，精确判断访客的机型与系统版本；随后投放对应的WebKit远程代码执行漏洞；最终完成沙盒逃逸与内核级提权，实现对设备的深度控制。

这套工具的工程质量在业内留下了深刻印象。移动安全公司iVerify对其进行的独立分析指出，代码注释以流利英文写成，内置完善的技术文档，整体显示出极强的专业性与组织性。更值得关注的是，Coruna内置了反检测逻辑——当目标设备启用「隔离模式」或使用隐私浏览时，程序会自动放弃攻击，以规避被捕获和分析的风险。这种自我保护机制，是高端情报工具的典型特征。

三、从情报武器到间谍工具：Coruna在2025年的两次现身

谷歌的追踪记录显示，Coruna在2025年至少经历了两个截然不同的使用阶段，而每一次角色转变都意味着这套工具落入了新的手中。

1. 第一阶段：商业监控供应商的定向行动

2025年初，谷歌首次在野外捕获到Coruna的部分组件活动痕迹。彼时的使用方是某家不具名商业监控供应商的政府客户，攻击目标极为有限，完全符合精准情报收集的操作特征。谷歌认为，这一阶段的使用与该工具的原始设计用途最为接近。

2. 第二阶段：俄罗斯国家黑客的乌克兰行动

2025年夏，同一套JavaScript攻击框架在乌克兰境内多个被黑客入侵的网站上重新出现。受波及的网站涵盖工业设备供应商、零售工具平台、本地服务门户以及电子商务站点。谷歌将幕后操控者认定为UNC6353——一个疑似俄罗斯国家支持的网络间谍组织。

这一阶段的攻击具备精确的地理过滤功能，仅对来自特定区域的iPhone用户触发漏洞链，明显以乌克兰境内的特定人员为狙击目标，呈现出典型的国家级情报行动特征。谷歌随后与乌克兰计算机应急响应团队展开合作，对所有受感染网站进行了清查和处理。

四、内鬼彼得·威廉姆斯：武器外泄的核心人物

Coruna如何从五眼情报圈流入俄罗斯之手？目前最具说服力的答案，指向L3Harris Trenchant前总经理彼得·威廉姆斯。

威廉姆斯，澳大利亚籍，现年39岁，拥有澳大利亚信号局的工作背景，后加入Trenchant，担任总经理一职，掌握公司核心网络系统的完整访问权限。从2022年至2025年中离职，他陆续将至少八套由公司内部研发的漏洞利用工具窃取出售，买家是俄罗斯零日漏洞经纪商Operation Zero，交易总额约130万美元。

Operation Zero是一家公开运营的俄罗斯漏洞收购机构，声称服务对象仅限俄罗斯政府及本国企业，并曾公开喊价2000万美元购买安卓与iOS平台的顶级零日漏洞。美国财政部已于2026年2月对其实施制裁，并在制裁文件中指控该机构将威廉姆斯盗取的工具转售给「至少一名未经授权的用户」——这为Coruna流入俄罗斯政府黑客之手提供了一条清晰的传递路径。

美国检察官在起诉书中将威廉姆斯的行为定性为「背叛美国及其盟友」，并指出其出售的工具具备攻击「全球数以百万计设备」的潜力，暗示相关漏洞覆盖iOS等主流操作系统。其中一个细节尤为引人注目：威廉姆斯本人在后续监控中认出了自己编写的代码——它出现在了一名韩国中间商手中，印证了这些工具在国际地下市场的辗转流通。2026年2月，威廉姆斯以两项窃取商业机密罪被判处七年有期徒刑。

五、「三角测量行动」的幽灵

调查中最引人入胜、也最具地缘政治意涵的一条线索，是Coruna与2023年卡巴斯基披露的「三角测量行动」之间若隐若现的技术关联。

谷歌分析指出，Coruna内部两个漏洞模块——Photon和Gallium——所利用的底层漏洞，与三角测量行动中使用的零日漏洞完全吻合。iVerify联合创始人洛基·科尔进一步提出三项佐证：其一，Coruna的整体使用时间线与威廉姆斯的盗窃行为高度吻合；其二，Coruna中Plasma、Photon、Gallium三个模块的架构风格，与三角测量行动的组件存在明显相似性；其三，据「接近国防圈的相关人士」私下透露，Plasma模块曾在三角测量行动中被使用，尽管目前尚无公开证据支撑这一说法。科尔特别声明，上述判断是「基于现有信息的最优解释」，并不构成最终定论。

另一条旁证则更具隐喻色彩，来自命名风格。Coruna的23个模块中大量沿用鸟类名称——Cassowary、Terrorbird、Bluebird、Jacurutu、Sparrow——安全研究员科斯汀·拉尤注意到，这正是Azimuth Security的一贯代码命名传统。Azimuth Security是L3Harris收购并整合进Trenchant的澳大利亚安全公司之一，曾于2016年以代号「Condor」的工具协助FBI破解圣贝纳迪诺案中嫌疑人的iPhone。鸟类命名在代码库中的延续，构成了指向Trenchant的有力circumstantial证据。

值得一提的还有卡巴斯基在视觉传播上的暗示习惯。三角测量行动的官方logo由多个三角形拼成苹果轮廓，而L3Harris的品牌logo恰好也以几何三角形为核心设计元素，Trenchant自身的logo同样由两个三角形构成。这或许并非巧合——卡巴斯基曾有过类似的「以图隐语」先例：2014年披露「Careto」黑客组织时，配图中暗藏了西班牙国旗的红黄配色与公牛角元素，事实上是在隐晦指向西班牙政府，尽管始终未正式点名。正如TechCrunch后来证实的，卡巴斯基研究人员当时私下已确认「毫无疑问」是西班牙政府所为。

对于上述归因，卡巴斯基研究员鲍里斯·拉林在接受TechCrunch采访时持审慎立场。他表示，卡巴斯基无法将三角测量行动归因于任何已知的APT组织或漏洞开发商，并强调两套工具共享相同的漏洞CVE编号，并不足以作为代码同源的充分依据，因为相关漏洞技术细节早已公开，任何攻击者均可独立利用。他认为两者的共同点「只是冰山一角」，不足以支撑更强的归因结论。

六、国家级网络武器失控的结构性困境

Coruna的流转轨迹，不是一个偶发的安全事故，而是暴露了国家级网络武器研发与管控模式中的深层裂缝。

从产业结构看，顶级攻击能力的开发正越来越多地外包给私营军工企业。L3Harris这样的国防承包商通过并购专业安全公司，形成了一套完整的「漏洞工厂」体系，批量生产原本只有国家情报机构才具备的攻击能力。这些工具的销售对象原则上被限定在五眼联盟圈内，但「原则上」与「事实上」之间，一个有访问权限的内部人员便是全部距离。

从武器特性看，网络攻击工具与传统武器有本质区别：它可以被完整复制，不留任何痕迹。威廉姆斯窃取代码时，Trenchant的原始版本分毫未损；而他出售的副本，可以被无限次再转售、再改造，沿着地下市场的毛细血管渗透至任何角落。当Operation Zero将工具转手给「至少一名未经授权的用户」，再经由各级中间商流转，最终武器的使用者与最初设计者之间，可能已经相隔数个国家和多条供应链。

网络安全播客「Risky Business」主持人帕特里克·格雷在事件曝光后公开表示，他基于多方信息来源确信，威廉姆斯卖给Operation Zero的，正是三角测量行动中所使用的核心攻击套件。若这一判断成立，那么一套原本针对特定国家高价值目标的精密间谍工具，已经被改头换面，部署在了完全不同的地缘政治对抗场景之中。