Une campagne de piratage massif ciblant les utilisateurs d’iPhone en Ukraine et en Chine a utilisé des outils probablement conçus par l’entrepreneur militaire américain L3Harris, a appris TechCrunch. Ces outils, destinés aux espions occidentaux, se sont retrouvés entre les mains de divers groupes de hackers, notamment des espions du gouvernement russe et des cybercriminels chinois.
La semaine dernière, Google a révélé qu’au cours de l’année 2025, il avait découvert qu’une boîte à outils sophistiquée de piratage d’iPhone avait été utilisée dans une série d’attaques mondiales. La boîte à outils, surnommée « Coruna » par son développeur d’origine, était composée de 23 composants différents utilisés pour la première fois « dans des opérations hautement ciblées » par un client gouvernemental anonyme d’un « fournisseur de surveillance » non spécifié. Il a ensuite été utilisé par les espions du gouvernement russe contre un nombre limité d’Ukrainiens et enfin par des cybercriminels chinois « dans le cadre de campagnes à grande échelle » dans le but de voler de l’argent et des cryptomonnaies.
Les chercheurs de la société de cybersécurité mobile iVerify, qui ont analysé Coruna de manière indépendante, ont déclaré qu’ils pensaient qu’elle pourrait avoir été construite à l’origine par une entreprise qui l’a vendue au gouvernement américain.
Deux anciens employés de l’entrepreneur gouvernemental L3Harris ont déclaré à TechCrunch que Coruna avait été, au moins en partie, développé par la division technologique de piratage et de surveillance de l’entreprise, Trenchant. Les deux anciens employés connaissaient tous deux les outils de piratage iPhone de l’entreprise. Tous deux ont parlé sous couvert d’anonymat car ils n’étaient pas autorisés à parler de leur travail pour l’entreprise.
« Coruna était définitivement le nom interne d’un composant », a déclaré un ancien employé de L3Harris, qui connaissait les outils de piratage d’iPhone dans le cadre de son travail chez Trenchant.
« En regardant les détails techniques », a déclaré cette personne, se référant à certaines des preuves publiées par Google, « beaucoup sont familiers ».
Contactez-nous
Avez-vous plus d’informations sur Coruna ou sur d’autres outils gouvernementaux de piratage et de logiciels espions ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
L’ancien employé a déclaré que la boîte à outils globale de Trenchant abritait plusieurs composants différents, notamment Coruna et les exploits associés. Un autre ancien employé a confirmé que certains des détails inclus dans la boîte à outils de piratage publiée provenaient de Trenchant.
L3Harris vend les outils de piratage et de surveillance de Trenchant exclusivement au gouvernement américain et à ses alliés de l’alliance de renseignement dite Five Eyes, qui comprend l’Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni. Étant donné le nombre limité de clients de Trenchant, il est possible que Coruna ait été initialement acquise et utilisée par l’une des agences de renseignement de ces gouvernements avant de tomber entre des mains involontaires, bien qu’il soit difficile de savoir dans quelle mesure la boîte à outils de piratage Coruna publiée a été développée par L3Harris Trenchant.
Un porte-parole de L3Harris n’a pas répondu à une demande de commentaire.
On ne sait pas exactement comment Coruna est passée des mains d’un sous-traitant du gouvernement Five Eyes à un groupe de hackers du gouvernement russe, puis à un gang de cybercriminalité chinois.
Mais certaines circonstances semblent similaires au cas de Peter Williams, ancien directeur général de Trenchant. De 2022 jusqu’à sa démission à la mi-2025, Williams a vendu huit outils de piratage d’entreprise à Operation Zero, une société russe qui offre des millions de dollars en échange d’exploits zero-day, c’est-à-dire des vulnérabilités inconnues du fournisseur concerné.
Williams, un citoyen australien de 39 ans, a été condamné à sept ans de prison le mois dernier, après avoir reconnu avoir volé et vendu les huit outils de piratage Trenchant à Operation Zero pour 1,3 million de dollars.
Le gouvernement américain a déclaré que Williams, qui avait profité de son « accès total » aux réseaux de Trenchant, avait « trahi » les États-Unis et leurs alliés. Les procureurs l’ont accusé d’avoir divulgué des outils qui auraient pu permettre à quiconque les utilisait de « potentiellement accéder à des millions d’ordinateurs et d’appareils dans le monde », suggérant que ces outils reposaient sur des vulnérabilités affectant des logiciels largement utilisés comme iOS.
L’Opération Zéro, sanctionnée par le gouvernement américain le mois dernier, prétend travailler exclusivement avec le gouvernement russe et des entreprises locales. Le Trésor américain a affirmé que le courtier russe avait vendu « les outils volés de Williams à au moins un utilisateur non autorisé ».
Cela expliquerait comment le groupe d’espionnage russe, que Google a uniquement identifié comme UNC6353, a acquis Coruna et l’a déployé sur des sites Web ukrainiens compromis afin de pirater certains utilisateurs d’iPhone d’une géolocalisation spécifique qui visitaient involontairement le site malveillant.
Il est possible qu’une fois qu’Operation Zero a acquis Coruna et l’a potentiellement vendue au gouvernement russe, le courtier a ensuite revendu la boîte à outils à quelqu’un d’autre, peut-être à un autre courtier, à un autre pays, ou même directement à des cybercriminels. Le Trésor a allégué qu’un membre du gang du ransomware Trickbot avait travaillé avec Operation Zero, liant le courtier à des pirates informatiques motivés par l’argent.
À ce stade, Coruna est peut-être passé entre d’autres mains jusqu’à ce qu’il parvienne aux pirates informatiques chinois. Selon les procureurs américains, Williams a reconnu que le code qu’il avait écrit et vendu à Operation Zero avait ensuite été utilisé par un courtier sud-coréen.
Opération Triangulation
Des chercheurs de Google ont écrit mardi que deux exploits spécifiques de Coruna et vulnérabilités sous-jacentes, appelés Photon et Gallium par leurs développeurs d’origine, ont été utilisés comme zero-day dans l’opération Triangulation, une campagne de piratage sophistiquée qui aurait été utilisée contre les utilisateurs russes d’iPhone. L’opération Triangulation a été révélée pour la première fois par Kaspersky en 2023.
Rocky Cole, le co-fondateur d’iVerify, a déclaré à TechCrunch que « la meilleure explication basée sur ce que l’on sait actuellement » indique que Trenchant et le gouvernement américain sont les premiers développeurs et clients de Coruna. Cependant, a ajouté Cole, il ne le prétend pas « définitivement ».
Cette évaluation, a-t-il dit, repose sur trois facteurs. La chronologie de l’utilisation de Coruna correspond aux fuites de Williams, la structure des trois modules – Plasma, Photon et Gallium – trouvés à Coruna présente de fortes similitudes avec Triangulation, et Coruna a réutilisé certains des mêmes exploits utilisés dans cette opération, a-t-il déclaré.
Selon Cole, « des personnes proches de la communauté de la défense » affirment que le plasma a été utilisé dans l’opération Triangulation, « bien qu’il n’y ait aucune preuve publique de cela ». (Cole travaillait auparavant à la National Security Agency des États-Unis.)
Selon Google et iVerify, Coruna a été conçu pour pirater les modèles d’iPhone exécutant iOS 13 à 17.2.1, sortis entre septembre 2019 et décembre 2023. Ces dates correspondent à la chronologie de certaines des fuites de Williams et à la découverte de l’opération Triangulation.
L’un des anciens employés de Trenchant a déclaré à TechCrunch que lorsque Triangulation a été révélé pour la première fois en 2023, d’autres employés de l’entreprise pensaient qu’au moins un des zéros détectés par Kaspersky « provenait de nous et potentiellement « arraché » du « projet global qui incluait Coruna ».
Un autre fil d’Ariane qui pointe vers Trenchant – comme l’a noté le chercheur en sécurité Costin Raiu – est l’utilisation de noms d’oiseaux pour certains des 23 outils, tels que Cassowary, Terrorbird, Bluebird, Jacurutu et Sparrow. En 2021, le Washington Post a révélé qu’Azimuth, l’une des deux startups acquises plus tard par L3Harris et fusionnée avec Trenchant, avait vendu un outil de piratage appelé Condor au FBI dans la tristement célèbre affaire de piratage d’iPhone à San Bernardino.
Après que Kaspersky a publié ses recherches sur l’opération Triangulation, le Service fédéral de sécurité (FSB) russe a accusé la NSA d’avoir piraté des « milliers » d’iPhones en Russie, ciblant en particulier des diplomates. Un porte-parole de Kaspersky avait déclaré à l’époque que l’entreprise ne disposait d’aucune information sur les affirmations du FSB. Le porte-parole a noté que les « indicateurs de compromission » – c’est-à-dire la preuve d’un piratage – identifiés par le Centre national russe de coordination des incidents informatiques (NCCCI) étaient les mêmes que ceux identifiés par Kaspersky.
Boris Larin, chercheur en sécurité chez Kaspersky, a déclaré à TechCrunch dans un e-mail que « malgré nos recherches approfondies, nous ne sommes pas en mesure d’attribuer l’opération Triangulation à un groupe connu (Advanced Persistent Threat) ou à une société de développement d’exploitation ».
Larin a expliqué que Google a lié Coruna à l’opération Triangulation parce qu’ils exploitent tous deux les mêmes vulnérabilités : Photon et Gallium.
« L’attribution ne peut pas être basée uniquement sur le fait de l’exploitation de ces vulnérabilités. Tous les détails de ces deux vulnérabilités sont depuis longtemps accessibles au public », et n’importe qui aurait donc pu en profiter, a-t-il déclaré, ajoutant que ces deux vulnérabilités communes « ne sont que la pointe de l’iceberg ».
Kaspersky n’a jamais accusé publiquement le gouvernement américain d’être à l’origine de l’opération Triangulation. Curieusement, le logo que l’entreprise a créé pour la campagne — un logo pomme composé de plusieurs triangles — n’est pas sans rappeler le logo L3Harris. Ce n’est peut-être pas une coïncidence. Kaspersky a précédemment déclaré qu’il n’attribuerait pas publiquement une campagne de piratage, tout en signalant discrètement qu’il savait réellement qui était derrière cette campagne ou qui avait fourni les outils nécessaires.
En 2014, Kaspersky a annoncé avoir capturé un groupe de piratage gouvernemental sophistiqué et insaisissable connu sous le nom de « Careto » (en espagnol pour « The Mask »). La société a seulement déclaré que les pirates parlaient espagnol. Mais l’illustration d’un masque utilisée par l’entreprise dans son rapport incluait les couleurs rouge et jaune du drapeau espagnol, des cornes et un anneau de nez de taureau, ainsi que des castagnettes.
Comme TechCrunch l’a révélé l’année dernière, les chercheurs de Kaspersky avaient conclu en privé qu’« il n’y avait aucun doute », comme l’a dit l’un d’eux, que Careto était dirigé par le gouvernement espagnol.
Mercredi, le journaliste en cybersécurité Patrick Gray a déclaré dans un épisode de son podcast Risky Business qu’il pensait – sur la base de « bribes » dont il était sûr – que ce que Williams avait divulgué à Operation Zero était le kit de piratage utilisé dans la campagne Triangulation.
Apple, Google, Kaspersky et Operation Zero n’ont pas répondu aux demandes de commentaires.
