Masovna hakerska kampanja usmjerena na korisnike iPhonea u Ukrajini i Kini koristila je alate koje je vjerojatno dizajnirao američki vojni dobavljač L3Harris, saznaje TechCrunch. Ovi alati, prvotno namijenjeni zapadnim špijunskim agencijama, na kraju su dospjeli u ruke različitih hakerskih skupina, uključujući ruske vladine agente i kineske cyberkriminalce.

Prošlog tjedna, Google je otkrio da je tijekom 2025. godine pronašao sofisticirani paket alata za hakiranje iPhonea koji je korišten u nizu globalnih napada. Paket alata, kojeg je njegov izvorni developer nazvao "Coruna", sastojao se od dvadeset i tri različite komponente. Prvo ga je "u visoko ciljanim operacijama" koristio neimenovani vladin klijent nespecificiranog "dobavljača nadzorne tehnologije". Nakon toga, koristili su ga ruski vladini špijuni protiv ograničenog broja Ukrajinaca, a na kraju i kineski cyberkriminalci u "širokim kampanjama" s ciljem krađe novca i kriptovaluta.

Istraživači iz tvrtke za mobilnu cyber sigurnost iVerify, koja je neovisno analizirala Corunu, izjavili su kako vjeruju da ju je možda izvorno izradila tvrtka koja ju je prodala američkoj vladi. Dva bivša zaposlenika vladinog dobavljača L3Harris potvrdila su za TechCrunch da je Coruna, barem djelomično, razvijena u odjelu tvrtke za hakersku i nadzornu tehnologiju, poznatom kao Trenchant. Oba bivša zaposlenika imala su saznanja o alatima tvrtke za hakiranje iPhonea i govorila su pod uvjetom anonimnosti. "Coruna je definitivno bio interni naziv jedne komponente", rekao je jedan od bivših zaposlenika, dok je drugi potvrdio da mnogi tehnički detalji koje je Google objavio izgledaju "vrlo poznato".

Trag vodi do bivšeg zaposlenika

L3Harris prodaje Trenchantove alate za hakiranje i nadzor isključivo američkoj vladi i njezinim saveznicima u obavještajnom savezu "Five Eyes", koji uključuje Australiju, Kanadu, Novi Zeland i Ujedinjeno Kraljevstvo. S obzirom na ograničen broj Trenchantovih klijenata, moguće je da je Corunu izvorno nabavila i koristila jedna od obavještajnih agencija tih vlada prije nego što je dospjela u neželjene ruke. Kako je točno Coruna prešla od dobavljača za "Five Eyes" do ruske vladine hakerske skupine, a zatim do kineske cyberkriminalne bande, ostaje nejasno.

Ipak, neke okolnosti podsjećaju na slučaj Petera Williamsa, bivšeg generalnog direktora u Trenchantu. Od 2022. do svoje ostavke sredinom 2025. godine, Williams je prodao osam hakerskih alata tvrtke ruskoj kompaniji Operation Zero, koja nudi milijune dolara u zamjenu za "zero-day" ranjivosti. Williams, tridesetdevetogodišnji australski državljanin, osuđen je prošlog mjeseca na sedam godina zatvora nakon što je priznao krađu i prodaju osam Trenchantovih alata za 1,3 milijuna USD. Američka vlada tvrdi da je Williams "izdao" Sjedinjene Države i njezine saveznike, a tužitelji su ga optužili za curenje alata koji su mogli omogućiti pristup milijunima uređaja diljem svijeta.

Operation Zero, koju je američka vlada sankcionirala prošlog mjeseca, tvrdi da surađuje isključivo s ruskom vladom i lokalnim tvrtkama. Ministarstvo financija SAD-a tvrdi da je ruski posrednik prodao Williamsove "ukradene alate barem jednom neovlaštenom korisniku". To bi objasnilo kako je ruska špijunska skupina, koju Google identificira kao UNC6353, nabavila Corunu i postavila je na kompromitirane ukrajinske web stranice kako bi hakirala određene korisnike iPhonea s određene geolokacije.

Veza s operacijom Triangulation

Istraživači Googlea napisali su da su dva specifična Coruna exploita, Photon i Gallium, korištena kao "zero-days" u operaciji Triangulation, sofisticiranoj hakerskoj kampanji navodno korištenoj protiv ruskih korisnika iPhonea, a koju je Kaspersky prvi otkrio 2023. godine. Rocky Cole, suosnivač iVerifyja, izjavio je da "najbolje objašnjenje temeljeno na trenutno poznatim informacijama" upućuje na Trenchant i američku vladu kao izvorne developere i klijente Corune.

Dodatni trag koji upućuje na Trenchant jest korištenje imena ptica za neke od alata, kao što su Cassowary, Terrorbird i Bluebird. The Washington Post je 2021. otkrio da je Azimuth, jedan od startupa koje je L3Harris kasnije kupio i pripojio Trenchantu, prodao FBI-u hakerski alat nazvan Condor. Zanimljivo je da je nakon što je Kaspersky objavio svoje istraživanje o operaciji Triangulation, ruska Federalna služba sigurnosti (FSB) optužila američku NSA za hakiranje tisuća iPhonea u Rusiji. Iako Kaspersky nikada nije javno optužio američku vladu, logo koji je tvrtka stvorila za tu kampanju, jabuka sastavljena od nekoliko trokuta, podsjeća na logo tvrtke L3Harris.

Čini se da je lanac događaja započeo izdajom unutar američkog vojnog dobavljača, što je omogućilo da se moćno digitalno oružje, stvoreno za jednu svrhu, na kraju nekontrolirano proširi i iskoristi u špijunske i kriminalne svrhe diljem svijeta.