O campanie de hacking în masă care viza utilizatorii de iPhone din Ucraina și China a folosit instrumente care au fost probabil proiectate de contractorul militar american L3Harris, a aflat TechCrunch.
Instrumentele, care erau destinate spionilor occidentali, au ajuns în mâinile diferitelor grupuri de hacking, inclusiv spioni ai guvernului rus și cybercriminali chinezi.
Săptămâna trecută, Google a dezvăluit că, pe parcursul anului 2025, a descoperit că un set sofisticat de instrumente de hacking pentru iPhone a fost folosit într-o serie de atacuri globale. Setul de instrumente, numit "Coruna" de către dezvoltatorul său original, era format din 23 de componente diferite, utilizate pentru prima dată "în operațiuni extrem de țintite" de către un client guvernamental anonim al unui "vânzător de supraveghere" nespecificat. Ulterior, a fost folosit de spioni ai guvernului rus împotriva unui număr limitat de ucraineni și, în cele din urmă, de cybercriminali chinezi "în campanii la scară largă", cu scopul de a fura bani și criptomonede.
Cercetătorii de la compania de securitate cibernetică mobilă iVerify, care a analizat independent Coruna, au declarat că consideră că ar fi putut fi construit inițial de o companie care l-a vândut guvernului SUA.
Doi foști angajați ai contractorului guvernamental L3Harris au declarat pentru TechCrunch că Coruna a fost, cel puțin parțial, dezvoltată de divizia de tehnologie de hacking și supraveghere a companiei, Trenchant. Ambii foști angajați aveau cunoștințe despre instrumentele de hacking iPhone ale companiei. Ambii au vorbit cu condiția anonimatului, deoarece nu au fost autorizați să vorbească despre munca lor pentru companie.
"Coruna a fost cu siguranță un nume intern al unei componente", a spus un fost angajat L3Harris, care era familiarizat cu instrumentele de hacking iPhone ca parte a activității sale la Trenchant. "Privind detaliile tehnice", a spus această persoană, referindu-se la unele dintre dovezile publicate de Google, "atât de multe sunt familiare."
Fostul angajat a spus că setul de instrumente Trenchant general găzduia mai multe componente diferite, inclusiv Coruna și exploit-uri conexe. Un alt fost angajat a confirmat că unele dintre detaliile incluse în setul de instrumente de hacking publicat provin de la Trenchant.
L3Harris vinde instrumentele de hacking și supraveghere Trenchant exclusiv guvernului SUA și aliaților săi din așa-numita alianță de informații Five Eyes, care include Australia, Canada, Noua Zeelandă și Regatul Unit. Având în vedere numărul limitat de clienți ai Trenchant, este posibil ca Coruna să fi fost achiziționată și utilizată inițial de una dintre agențiile de informații ale acestor guverne înainte de a cădea în mâini nedorite, deși nu este clar cât de mult din setul de instrumente de hacking Coruna publicat a fost dezvoltat de L3Harris Trenchant.
Un purtător de cuvânt al L3Harris nu a răspuns unei solicitări de comentarii.
Nu este clar cum a ajuns Coruna din mâinile unui contractor guvernamental Five Eyes la un grup de hacking guvernamental rus și apoi la o bandă de cybercrime chineză. Dar unele dintre circumstanțe par similare cu cazul lui Peter Williams, un fost director general la Trenchant.
Din 2022 până când a demisionat la mijlocul anului 2025, Williams a vândut opt instrumente de hacking ale companiei către Operation Zero, o companie rusă care oferă milioane de dolari în schimbul de exploit-uri zero-day, ceea ce înseamnă vulnerabilități care sunt necunoscute furnizorului afectat. Williams, un cetățean australian de 39 de ani, a fost condamnat luna trecută la șapte ani de închisoare, după ce a recunoscut că a furat și a vândut cele opt instrumente de hacking Trenchant către Operation Zero pentru 1,3 milioane de dolari. Guvernul SUA a declarat că Williams, care a profitat de faptul că avea "acces complet" la rețelele Trenchant, a "trădat" Statele Unite și aliații săi. Procurorii l-au acuzat că a scurs instrumente care ar fi putut permite oricui le-a folosit să "acceseze potențial milioane de computere și dispozitive din întreaga lume", sugerând că instrumentele s-au bazat pe vulnerabilități care afectează software-uri utilizate pe scară largă, cum ar fi iOS.
Operation Zero, care a fost sancționată de guvernul SUA luna trecută, susține că lucrează exclusiv cu guvernul rus și cu companiile locale. Trezoreria SUA a susținut că brokerul rus a vândut "instrumentele furate" ale lui Williams către cel puțin un utilizator neautorizat. Aceasta ar explica modul în care grupul de spionaj rus, pe care Google l-a identificat doar ca UNC6353, a achiziționat Coruna și l-a implementat pe site-uri web ucrainene compromise, astfel încât să hack-uieze anumiți utilizatori de iPhone dintr-o anumită geolocație care au vizitat fără să știe site-ul rău intenționat.
Este posibil ca odată ce Operation Zero a achiziționat Coruna și, eventual, l-a vândut guvernului rus, brokerul să fi revândut apoi setul de instrumente altcuiva, poate altui broker, unei alte țări sau chiar direct cybercriminalilor. Trezoreria a susținut că un membru al grupului ransomware Trickbot a lucrat cu Operation Zero, legând brokerul de hackeri motivați financiar. În acel moment, Coruna ar fi putut trece în alte mâini până când a ajuns la hackerii chinezi.
Potrivit procurorilor americani, Williams a recunoscut codul pe care l-a scris și l-a vândut către Operation Zero, fiind utilizat ulterior de un broker sud-coreean.
Cercetătorii Google au scris marți că două exploit-uri specifice Coruna și vulnerabilități subiacente, numite Photon și Gallium de către dezvoltatorii lor originali, au fost folosite ca zero-days în Operation Triangulation, o campanie sofisticată de hacking despre care se presupune că a fost folosită împotriva utilizatorilor ruși de iPhone. Operațiunea Triangulation a fost dezvăluită pentru prima dată de Kaspersky în 2023.
Rocky Cole, co-fondatorul iVerify, a declarat pentru TechCrunch că "cea mai bună explicație bazată pe ceea ce se știe în prezent" indică faptul că Trenchant și guvernul SUA sunt dezvoltatorii și clienții originali ai Coruna. Cu toate acestea, a adăugat Cole, el nu susține acest lucru "definitiv". Această evaluare, a spus el, se bazează pe trei factori. Cronologia utilizării Coruna se aliniază cu scurgerile lui Williams, structura a trei module - Plasma, Photon și Gallium - găsite în Coruna au asemănări puternice cu Triangulation, iar Coruna a reutilizat unele dintre aceleași exploit-uri utilizate în acea operațiune, a spus el. Potrivit lui Cole, "persoane apropiate comunității de apărare" susțin că Plasma a fost folosit în Operation Triangulation, "deși nu există dovezi publice în acest sens". (Cole a lucrat anterior la Agenția Națională de Securitate a SUA.)
Potrivit Google și iVerify, Coruna a fost conceput pentru a hack-ui modelele de iPhone care rulează iOS 13 până la 17.2.1, lansate între septembrie 2019 și decembrie 2023. Aceste date se aliniază cu cronologia unora dintre scurgerile lui Williams și cu descoperirea Operation Triangulation.
Unul dintre foștii angajați Trenchant a declarat pentru TechCrunch că, atunci când Triangulation a fost dezvăluită pentru prima dată în 2023, alți angajați ai companiei credeau că cel puțin unul dintre zero-days prinse de Kaspersky "erau de la noi și, potențial, 'smulse' din" proiectul general care includea Coruna.
O altă frântură care indică Trenchant - după cum a menționat cercetătorul în securitate Costin Raiu - este utilizarea numelor de păsări pentru unele dintre cele 23 de instrumente, cum ar fi Cassowary, Terrorbird, Bluebird, Jacurutu și Sparrow. În 2021, The Washington Post a dezvăluit că Azimuth, unul dintre cele două startup-uri achiziționate ulterior de L3Harris și fuzionate în Trenchant, a vândut un instrument de hacking numit Condor FBI în infamul caz de spargere a iPhone-ului din San Bernardino.
După ce Kaspersky și-a publicat cercetările cu privire la Operation Triangulation, Serviciul Federal de Securitate al Rusiei (FSB) a acuzat NSA că a hack-uit "mii" de iPhone-uri în Rusia, vizând în special diplomații. Un purtător de cuvânt al Kaspersky a declarat la acea vreme că compania nu are informații despre afirmațiile FSB. Purtătorul de cuvânt a menționat că "indicatorii de compromis" - adică dovezi ale unui hack - identificați de Centrul Național de Coordonare pentru Incidente Informatice din Rusia (NCCCI) au fost aceiași pe care i-a identificat Kaspersky.
Boris Larin, cercetător în securitate la Kaspersky, a declarat pentru TechCrunch într-un e-mail că "în ciuda cercetărilor noastre extinse, nu putem atribui Operation Triangulation niciunui grup [Advanced Persistent Threat] sau companie de dezvoltare de exploit-uri cunoscută".
Larin a explicat că Google a legat Coruna de Operation Triangulation, deoarece ambele exploatează aceleași două vulnerabilități - Photon și Gallium. "Atribuirea nu se poate baza exclusiv pe faptul exploatării acestor vulnerabilități. Toate detaliile ambelor vulnerabilități sunt disponibile public de mult timp" și, prin urmare, oricine ar fi putut profita de ele, a spus el, adăugând că cele două vulnerabilități comune "sunt doar vârful aisbergului".
Kaspersky nu a acuzat niciodată public guvernul SUA că ar fi în spatele Operation Triangulation. În mod curios, logo-ul pe care compania l-a creat pentru campanie - un logo Apple compus din mai multe triunghiuri - amintește de logo-ul L3Harris. S-ar putea să nu fie o coincidență. Kaspersky a declarat anterior că nu va atribui o campanie de hacking public, semnalând în liniște că știe de fapt cine se află în spatele ei sau cine a furnizat instrumentele pentru ea.
În 2014, Kaspersky a anunțat că a prins un grup sofisticat și evaziv de hacking guvernamental cunoscut sub numele de "Careto" (în spaniolă "Masca"). Compania a spus doar că hackerii vorbesc spaniolă. Dar ilustrația unei măști pe care compania a folosit-o în raportul său a inclus culorile roșu și galben ale steagului Spaniei, coarnele și inelul nazal al taurului și castanietele. Așa cum a dezvăluit TechCrunch anul trecut, cercetătorii Kaspersky au ajuns la concluzia în privat că "nu există nicio îndoială", după cum a spus unul dintre ei, că Careto este condus de guvernul spaniol.
Miercuri, jurnalistul de securitate cibernetică Patrick Gray a spus într-un episod al podcastului său Risky Business că a crezut - pe baza "bucăților și pieselor" despre care era încrezător - că ceea ce Williams a scurs către Operation Zero a fost kitul de hacking folosit în campania Triangulation.
Apple, Google, Kaspersky și Operation Zero nu au răspuns solicitărilor de comentarii.