美軍承包商的間諜工具如何落入俄中駭客之手

一套原本只賣給美國及其盟友的間諜工具，最終出現在俄羅斯政府駭客與中國網路犯罪集團的武器庫中——這不是間諜小說的情節，而是2025年真實發生的事。

根據科技媒體TechCrunch於2026年3月的調查報導，美國國防承包商L3Harris旗下駭客與監控技術部門「Trenchant」所開發的高階iPhone入侵工具組「Coruna」，疑因內部人員洩密，先後落入俄羅斯情報機構與中國網路犯罪集團之手，對烏克蘭及中國的iPhone用戶發動了大規模攻擊。這起事件不僅揭示了網路武器擴散的嚴峻現實，也讓外界對「誰在監控誰」的問題有了更複雜的認識。

Coruna是什麼？一套23個模組的數位武器

事件的起點，是Google在2026年初發布的一份調查報告。研究人員發現，在整個2025年間，一套被稱為「Coruna」的高階iPhone入侵工具組被用於一系列全球性攻擊。

Coruna由23個不同組件構成，最初由某個匿名政府客戶用於「高度針對性行動」。工具組的攻擊範圍涵蓋搭載iOS 13至iOS 17.2.1的iPhone，對應時間跨度從2019年9月至2023年12月。

這套工具的流轉路徑，是整個事件最值得關注的部分。Coruna首先被俄羅斯政府駭客組織（Google將其標識為「UNC6353」）用於攻擊烏克蘭人：駭客將惡意代碼植入特定網站，當來自特定地理位置的iPhone用戶瀏覽這些網站時，便會在不知情的情況下遭到入侵。隨後，同一套工具落入中國網路犯罪集團手中，被用於「大規模」竊取金錢與加密貨幣的行動。

行動安全公司iVerify的共同創辦人、前NSA（美國國家安全局）分析師洛基·科爾（Rocky Cole）表示，「根據目前已知資訊，最合理的解釋」指向Trenchant和美國政府是Coruna的原始開發者與客戶。兩名L3Harris前員工也向TechCrunch匿名證實，Coruna確實是Trenchant內部工具組的組件名稱之一。L3Harris發言人未回應置評請求。

內鬼與掮客：工具如何從五眼聯盟流向俄中

要理解Coruna的流出路徑，必須認識一個關鍵人物：彼得·威廉斯（Peter Williams）。

威廉斯是Trenchant的前總經理，澳洲籍，時年39歲。從2022年到2025年中辭職為止，他利用自己對Trenchant網路的「完整存取權限」，將公司的8套駭客工具出售給Operation Zero——一家聲稱專門服務俄羅斯政府的漏洞掮客公司，已遭美國制裁。威廉斯因此獲得130萬美元（約新台幣4,200萬元）的報酬，上月被判處7年有期徒刑。

美國財政部指控Operation Zero將威廉斯盜取的工具「出售給至少一名未經授權的用戶」，這很可能就是俄羅斯駭客組織UNC6353取得Coruna的途徑。財政部還指出，惡名昭彰的勒索軟體集團Trickbot的成員曾與Operation Zero合作，顯示這條供應鏈已延伸至以金錢為動機的網路犯罪圈。Coruna就這樣從國家級情報工具，逐步淪為地下市場的商品。

廣告

廣告合作

[email protected]

廣告

這起事件還與另一個重要案例相互呼應：卡巴斯基（Kaspersky）於2023年揭露的「Operation Triangulation」。這場攻擊行動以俄羅斯境內的iPhone用戶（尤其是外交官）為目標，而Google的研究人員確認，Coruna中的Photon與Gallium兩個組件，正是Triangulation所利用的相同零日漏洞。俄羅斯FSB（聯邦安全局）當時指控NSA駭入「數千部」俄羅斯iPhone，而今看來，這場指控背後的技術源頭，可能正是美國自己的承包商所開發的工具。

值得一提的是，卡巴斯基為Triangulation行動設計的標誌——由三角形拼成的蘋果圖案——與L3Harris的企業標誌頗為相似。這或許並非巧合。卡巴斯基過去曾有先例：在2014年的「Careto」駭客事件中，該公司公開聲稱無法歸因，卻在報告插圖中使用了西班牙國旗的紅黃色配色與鬥牛元素，暗示行動背後是西班牙政府——此後TechCrunch的報導證實，卡巴斯基研究人員私下早有定論。

對華人世界意味著什麼？

這起事件對華語圈讀者而言，有幾個層面值得深思。

首先，中國用戶直接成為受害者。 報導顯示，中國網路犯罪集團使用Coruna的目的是「廣泛竊取金錢與加密貨幣」，攻擊對象是中國境內的iPhone用戶。這意味著，一套原本由美國政府委託開發的工具，最終被用來侵害中國普通民眾的財產安全。這是一個頗為諷刺的結局——無論最初的政治意圖為何。

其次，這場事件折射出網路武器的「無國界」本質。 美國政府購買的工具，經由俄羅斯掮客，最終到達中國犯罪集團手中——這條供應鏈跨越了三個在地緣政治上彼此對立的陣營。在中美科技脫鉤、網路安全對抗日趨激烈的當下，這個案例提醒我們：數位武器一旦存在，其擴散路徑幾乎不受政治邊界約束。

第三，對台灣與香港用戶的啟示。 台灣長期面臨來自多方的網路攻擊威脅，香港在2020年後的政治環境也使部分用戶對數位監控更加敏感。Coruna所針對的iOS版本範圍廣泛，任何仍在使用舊版iOS的用戶，無論身處何地，都面臨潛在風險。定期更新系統，是目前最直接可行的自我防護措施。

從更宏觀的視角來看，這起事件也讓人重新審視「誰在保護網路安全，又在保護誰的安全」這個根本問題。西方國家長期指責中俄從事國家支持的網路攻擊，但此次事件顯示，美國自身委託開發的工具，同樣在全球造成了附帶傷害。

各方立場：一個事件，多種解讀

美國政府的官方立場強調，威廉斯的定罪證明了法治的有效性。但批評者會問：一名擁有完整系統存取權限的員工，為何能在數年間持續洩密而未被察覺？這暴露的是監控機制的根本缺陷，而非個案。

俄羅斯的處境頗為矛盾：一方面，其情報機構確實使用了Coruna攻擊烏克蘭；另一方面，俄羅斯又是Operation Triangulation的受害者——而那場攻擊所用的漏洞，與Coruna高度重疊。「攻擊者」與「受害者」的身份，在這場事件中奇異地交織在一起。

安全研究社群則對歸因的複雜性保持謹慎。卡巴斯基研究員鮑里斯·拉林（Boris Larin）明確指出，「僅憑漏洞的共同使用不能作為歸因依據」，因為兩個漏洞的技術細節早已公開，任何人都可能加以利用。

一般iPhone用戶面對的現實則更為直接：將系統更新至iOS 17.2.1以上版本，是目前已知能規避Coruna攻擊的基本措施。