美軍事承包商的iPhone駭客工具如何流入中俄之手

一把原本只屬於西方情報機構的「鑰匙」，如今已被用來打開中國用戶的手機。

事件始末

2026年3月，科技媒體TechCrunch披露了一起牽涉多國的網路武器擴散事件。美國大型國防企業L3Harris旗下的駭客與監控技術部門「Trenchant」，被指開發了一套名為「Coruna」的iPhone駭客工具組。這套工具原本設計供西方情報機構使用，卻在一系列意外流轉後，先後落入俄羅斯政府諜報人員與中國網路犯罪集團手中，對烏克蘭及中國的iPhone用戶發動攻擊。

Google上週公開了這一調查結果。根據其報告，在整個2025年期間，一套由23個不同元件組成的複雜工具組在全球範圍內被使用。攻擊分三個階段展開：首先由一個未具名的「政府客戶」用於高度精準的目標行動；其次由俄羅斯政府駭客組織（Google將其標記為「UNC6353」）針對少數烏克蘭iPhone用戶發動攻擊；最終，中國網路犯罪集團以竊取金錢與加密貨幣為目的，展開了「大規模」攻擊行動。

Coruna的設計目標是運行iOS 13至17.2.1的iPhone，涵蓋2019年9月至2023年12月間發布的機型。

工具如何流出：一個「內鬼」的故事

這套工具的流出路徑，與Trenchant前總經理Peter Williams直接相關。

這名39歲的澳洲公民，從2022年起至2025年中期辭職前，利用其對Trenchant網路的「完全存取權限」，將8套公司駭客工具出售給俄羅斯的零時差漏洞掮客「Operation Zero」，共獲得130萬美元（約新台幣4,200萬元）。上個月，Williams被判處7年有期徒刑。美國政府稱其「背叛了美國及其盟友」。

美國財政部已對Operation Zero實施制裁，指控該公司將「盜竊的工具出售給至少一名未授權用戶」。這很可能就是俄羅斯政府駭客獲得Coruna的途徑。之後，工具或許經過多手轉賣——可能透過其他掮客、其他國家，甚至直接流向網路犯罪集團——最終抵達中國駭客手中。美國財政部也指出，Trickbot勒索軟體集團的一名成員曾與Operation Zero合作，顯示這條供應鏈橫跨了國家情報與地下犯罪兩個世界。

與「Operation Triangulation」的關聯

廣告

廣告合作

[email protected]

廣告

這起事件還牽涉出另一條更深的線索。

Google研究人員指出，Coruna中的兩個核心漏洞利用工具——「Photon」與「Gallium」——同樣出現在2023年由俄羅斯網路安全公司Kaspersky首次披露的「Operation Triangulation」行動中。該行動被指針對俄羅斯境內的iPhone用戶，俄羅斯聯邦安全局（FSB）當時指控NSA入侵了「數千台」iPhone，尤其針對外交官。

移動安全公司iVerify共同創辦人、前NSA研究員Rocky Cole表示，綜合時間線、模組結構與漏洞重疊等三個因素，Trenchant與美國政府是Coruna原始開發者與使用者的「最合理解釋」，但他強調這並非「確定性結論」。

值得玩味的是，Kaspersky為Operation Triangulation設計的標誌——由三角形組成的蘋果圖案——與L3Harris的企業標誌頗為相似。Kaspersky過去曾有不公開點名攻擊者、卻以視覺符號暗示的先例：2014年其披露的「Careto」行動報告中，插圖使用了西班牙國旗的紅黃配色與鬥牛元素，TechCrunch後來證實Kaspersky研究人員私下認定幕後是西班牙政府。

對華人世界意味著什麼

這起事件對華人讀者有幾層直接的意涵。

第一，中國用戶是最終受害者之一。 此次Coruna被中國網路犯罪集團用於大規模攻擊，目標是竊取金錢與加密貨幣。這意味著中國大陸、香港乃至海外華人社群的iPhone用戶，都可能在毫不知情的情況下，成為一套源自美國軍事承包商的工具的攻擊對象。

第二，這是中美網路博弈的新維度。 長期以來，西方媒體聚焦於中國國家支持的駭客組織（如APT41）對美國目標的攻擊。但此次事件揭示了另一面：美國開發的網路武器，經由俄羅斯中間人，最終被中國犯罪集團所用。這種「武器的逆流」，使得網路空間的歸因與責任認定愈加複雜。

第三，對台灣的啟示。 台灣長期處於來自多方的網路攻擊威脅之下。此次事件表明，即便是盟友開發的工具，也可能因管控失當而成為威脅。台灣的資安政策制定者需要思考：在依賴盟友情報工具的同時，如何建立自身的防禦韌性？

多方視角

Kaspersky研究員Boris Larin對「僅憑共用漏洞就歸因」的做法提出質疑，認為技術細節早已公開，任何人都可能加以利用，相關歸因「只是冰山一角」。這提醒我們，在資訊不完整時，保持判斷的謹慎是必要的。

然而，Kaspersky本身作為一家與俄羅斯政府關係複雜的企業，其立場同樣需要放在適當的脈絡下理解。在網路安全領域，幾乎每一個「客觀」的聲音背後，都有其地緣政治的座標。

從更宏觀的視角看，這起事件是「網路武器擴散」問題的縮影。與核武器或化學武器不同，網路武器可以被複製、轉賣、改造，其擴散路徑幾乎無從追蹤。Williams案顯示，技術防線再強，也難以防範「人」的因素——一個心懷不滿或貪婪的內部人員，可以讓數年的研發成果在數分鐘內流入敵手。