Es wurde festgestellt, dass ein Angriffstool, das bei einer groß angelegten Hacking-Operation gegen iPhone-Benutzer in der Ukraine und China eingesetzt wurde, wahrscheinlich aus einem internen Projekt des US-Militärunternehmens L3Harris stammt. Das Tool war ursprünglich für westliche Geheimdienste konzipiert, geriet jedoch schließlich in die Hände russischer Geheimdienste und chinesischer Cyberkriminellergruppen, was zu größerer Besorgnis über das Risiko des Durchsickerns militärisch-industrieller Cyberwaffen führte.

Google gab letzte Woche bekannt, dass es ein hochentwickeltes Toolkit für iPhone-Angriffe entdeckt hat, das in mehreren Runden globaler Angriffe im Jahr 2025 eingesetzt wurde. Das Toolkit, das von seinen ursprünglichen Entwicklern „Coruna“ genannt wurde, besteht aus 23 verschiedenen Komponenten und wurde zuerst von einem ungenannten Regierungskunden in „sehr gezielten Operationen“, dann von von der russischen Regierung unterstützten Spionen gegen eine kleine Anzahl ukrainischer Ziele und schließlich von chinesischen Cyberkriminellen in einer groß angelegten Operation zum Diebstahl von Geldern und Kryptowährungen verwendet. Eine unabhängige Analyse des mobilen Sicherheitsunternehmens iVerify ergab, dass das Tool wahrscheinlich ursprünglich von einem Unternehmen entwickelt wurde, das Produkte an die US-Regierung verkauft.

Zwei ehemalige Mitarbeiter, die bei Trenchant, dem Hacking- und Überwachungstechnologiezweig von L3Harris, arbeiteten, bestätigten gegenüber den Medien, dass zumindest einige Komponenten von Coruna von Trenchant entwickelt wurden und dass sie beide direkten Kontakt zu den von der Firma entwickelten iPhone-Angriffstools hatten. Die beiden Personen, die um Anonymität baten, sagten, dass „Coruna tatsächlich der Codename einer internen Komponente ist“ und dass die von Google offengelegten technischen Details „sehr vertraut“ seien. Einer der ehemaligen Mitarbeiter sagte, Coruna sei eine von mehreren Komponenten und Exploits, die im gesamten Toolkit von Trenchant enthalten seien.

Aus öffentlichen Informationen geht hervor, dass L3Harris Hacking- und Überwachungstools über Trenchant an die US-Regierung und ihre „Five Eyes“-Verbündeten verkauft, wobei die Kunden auf Geheimdienste in den Vereinigten Staaten, dem Vereinigten Königreich, Kanada, Australien und Neuseeland beschränkt sind. Unter der Voraussetzung, dass die Kunden stark eingeschränkt sind, geht man davon aus, dass Coruna höchstwahrscheinlich zuerst vom Geheimdienst eines der Länder gekauft und genutzt wurde und dann auf irgendeine Weise durchgesickert ist und in die Hände anderer Akteure gelangt ist. Es ist unklar, wie viel Code im offengelegten Coruna-Toolset direkt von L3Harris Trenchant stammt.

Der Verlauf der grenzüberschreitenden Verbreitung von Coruna ähnelt stark dem Fall des ehemaligen Trenchant-Geschäftsführers Peter Williams, der Cyberwaffen durchsickern ließ. Öffentlichen Aufzeichnungen zufolge verkaufte Williams zwischen 2022 und Mitte 2025 acht Trenchant-Angriffswerkzeuge an das russische Unternehmen Operation Zero und verdiente damit etwa 1,3 Millionen US-Dollar. Die US-Regierung beschuldigte ihn, „vollen Zugriff“ auf das Trenchant-Intranet genutzt zu haben, um die Tools zu stehlen, die „Millionen von Computern und Geräten auf der ganzen Welt“ angreifen könnten, und wurde als „Verrat“ an den Vereinigten Staaten und ihren Verbündeten gewertet. Williams wurde im Februar zu sieben Jahren Gefängnis verurteilt und Operation Zero wurde vom US-Finanzministerium genehmigt.

Das US-Finanzministerium gab bekannt, dass Operation Zero behauptete, nur mit der russischen Regierung und inländischen Unternehmen zusammenzuarbeiten, Beamte stellten jedoch fest, dass die von Williams gestohlenen Werkzeuge an mindestens „einen nicht autorisierten Benutzer“ verkauft wurden. Die Untersuchung von Google ergab, dass die russische Spionageorganisation UNC6353 Coruna über unbekannte Kanäle erlangte und es in kompromittierte ukrainische Websites einschleuste, um Benutzer aus bestimmten geografischen Standorten anzugreifen, die iPhones verwenden, um auf diese Websites zuzugreifen. Einige Analysten glauben, dass Operation Zero die Tools nach dem Weiterverkauf an russische Beamte möglicherweise weiterhin an andere Makler, Länder oder sogar direkt an Cyberkriminellegruppen weiterverkauft. In der US-Anklageschrift wurde auch erwähnt, dass Mitglieder der Ransomware-Bande Trickbot mit Operation Zero zusammengearbeitet haben und den Broker mit einem Netzwerk von Hackern in Verbindung gebracht haben, die auf finanziellen Profit aus sind.

Nach Angaben der US-Staatsanwaltschaft erkannte Williams den von ihm geschriebenen und an Operation Zero verkauften Code, der später in den Händen eines südkoreanischen Mittelsmanns landete. Dies bietet auch einen möglichen Weg, wie Coruna schließlich an chinesische Hacker gelangte: In mehreren Runden des Weiterverkaufs und der Wiederverwendung von Code verbreitete sich das Tool nach und nach vom Geheimdienstkreis der Regierung in das breitere Hacker-Ökosystem.

Google-Forscher wiesen darauf hin, dass in Coruna zwei spezifische Exploit-Komponenten mit den Namen „Photon“ und „Gallium“ als Zero-Day-Schwachstellenwaffen in einer ausgeklügelten Angriffsoperation namens „Operation Triangulation“ („Dreiecksoperation“) eingesetzt wurden, die vermutlich auf iPhone-Benutzer in Russland abzielte. Kaspersky Lab hat Operation Triangle erstmals im Jahr 2023 offengelegt. Rocky Cole, Mitbegründer von iVerify, sagte, dass die „vernünftigste Erklärung“ auf der Grundlage der aktuellen öffentlichen Informationen sei, dass Corunas ursprünglicher Entwickler und Kunde Trenchant bzw. die US-Regierung seien, betonte jedoch, dass dieses Urteil noch nicht „absolut schlüssig“ sei.

Coles Urteil basiert auf drei Punkten: Erstens überschneidet sich der zeitliche Ablauf von Corunas Einsatz stark mit dem Williams-Leak-Fall; Zweitens ist die Struktur der drei Hauptmodule in Coruna, „Plasma“, „Photon“ und „Gallium“, den in „Operation Triangle“ beobachteten Modulen sehr ähnlich; Drittens verwendet Coruna einige Angriffscodes wieder, die bei dieser Operation verwendet wurden. Er enthüllte auch, dass Informationen von „Personen, die der Verteidigungsgemeinschaft nahe stehen“, behaupteten, dass das „Plasma“-Modul auch in der „Operation Triangle“ eingesetzt worden sei, es jedoch derzeit keine öffentlichen Beweise dafür gebe. Cole selbst arbeitete einst für die National Security Agency (NSA).

Technische Analysen von Google und iVerify zeigen, dass Coruna darauf ausgelegt ist, iPhones mit iOS 13 bis iOS 17.2.1 anzugreifen und eine Reihe von Systemversionen abzudecken, die von September 2019 bis Dezember 2023 veröffentlicht wurden. Diese Zeitspanne deckt sich auch mit der Zeitachse der geleakten Tools von Williams und der Entdeckung der Operation Triangle. Ein ehemaliger Mitarbeiter von Trenchant erinnerte daran, dass viele Mitarbeiter im Unternehmen geglaubt hatten, als Kaspersky im Jahr 2023 die „Operation Triangle“ zum ersten Mal enthüllte, dass mindestens eine der erfassten Zero-Day-Schwachstellen „von uns stammte“ und möglicherweise aus dem Gesamtprojekt, zu dem auch Coruna gehörte, „entfernt“ und in Betrieb genommen wurde.

Der Sicherheitsforscher Costin Raiu wies auf sozialen Plattformen auch darauf hin, dass viele Komponenten des Coruna-Tools nach Vögeln wie Kasuar, Terrorbird, Bluebird, Jacurutu, Sparrow usw. benannt sind, was implizit mit dem technischen Erbe von Trenchant zusammenhängt. Bereits 2021 berichtete die Washington Post, dass Azimuth, ein Sicherheitsunternehmen, das später von L3Harris übernommen und mit Trenchant fusioniert wurde, ein iPhone-Cracking-Tool namens Condor an das FBI verkaufte, das bei der berühmten Schießerei in San Bernardino zum Entsperren des iPhones verwendet wurde.

Nachdem die „Dreiecksoperation“ aufgedeckt worden war, beschuldigte der russische Föderale Sicherheitsdienst (FSB) den US-amerikanischen National Security Agency, mit dem Tool „Tausende iPhones“ in Russland gehackt zu haben, wobei der Schwerpunkt auf Zielen wie Diplomaten lag. Kaspersky sagte damals, dass ihm die Einzelheiten der FSB-Anschuldigungen nicht bekannt seien, wies jedoch darauf hin, dass die vom russischen National Cyber ​​​​Incident Coordination Center (NCCCI) veröffentlichten „Kompromissindikatoren“ mit Beweisen übereinstimmten, die Kaspersky zuvor identifiziert hatte. Der Kaspersky-Sicherheitsforscher Boris Larin sagte jedoch, dass „Operation Triangle“ auch nach umfangreichen Untersuchungen immer noch keiner bekannten APT-Gruppe (Advanced Persistent Threat) oder einem Unternehmen zur Entwicklung von Schwachstellen zugeordnet werden kann.

Larin erklärte, dass Google Coruna mit der Operation Triangle in Verbindung brachte, weil beide die gleichen Schwachstellen ausnutzten: Photon und Gallium. Das Teilen der Schwachstelle allein reicht jedoch nicht aus, um die Zuordnung abzuschließen, da die Details dieser beiden Schwachstellen seit langem öffentlich sind und jede Partei auf dieser Grundlage ihre eigene Angriffskette entwickeln kann. Er betonte, dass diese beiden gemeinsamen Schwachstellen „nur die Spitze des Eisbergs“ seien. Es ist erwähnenswert, dass Kaspersky die US-Regierung zwar nie öffentlich beschuldigt hat, hinter der Operation Triangle zu stecken, das aus mehreren Dreiecken bestehende Apple-Logo, das das Unternehmen für diese Operation entworfen hat, optisch dem Markenlogo von L3Harris ähnelt. Einige Leute glauben, dass es sich hierbei um eine „visuelle Hinweis“-Technik handelt, die häufig von Kaspersky verwendet wird.

Die bisherigen Praktiken von Kaspersky scheinen diese Spekulation zu bestätigen. Im Jahr 2014 enthüllte das Unternehmen eine hochrangige staatliche Hackergruppe namens „Careto“ (was „Maske“ bedeutet). Es wurde nur erwähnt, dass die Angreifer auf Spanisch waren, aber die im Bericht verwendete Maskenillustration fügte die roten und gelben Farben der spanischen Flagge, Stierhörner, Nasenringe, Kastagnetten und andere Elemente hinzu, was als Hinweis darauf angesehen wurde, dass die Angreifer mit der spanischen Regierung verwandt waren. Wie Kaspersky-Insider später in Berichten zitierten, glaubte das Forschungsteam insgeheim, dass es „keinen Zweifel“ daran gebe, dass Careto eine von der spanischen Regierung geführte Operation sei.

Die Kontroverse um Coruna hat auch zu einer anhaltenden Medienverfolgung geführt. Der Cybersicherheitsreporter Patrick Gray sagte diese Woche im Podcast „Risky Business“, dass Williams der Operation Zero genau das gleiche Angriffsgerüst verkauft habe, das in der „Operation Triangle“ verwendet wurde, basierend auf „fragmentarer Intelligenz“, über die er verfügte und von der er überzeugt war. Derzeit haben Apple, Google, Kaspersky und Operation Zero nicht öffentlich auf dieses Problem reagiert.