यूक्रेन और चीन में iPhone उपयोगकर्ताओं को लक्षित करने वाले बड़े पैमाने पर हैकिंग ऑपरेशन में इस्तेमाल किया जाने वाला एक हमला उपकरण संभवतः अमेरिकी सैन्य ठेकेदार L3Harris की आंतरिक परियोजना से आया है। यह उपकरण मूल रूप से पश्चिमी खुफिया एजेंसियों के लिए अनुकूलित किया गया था, लेकिन अंततः रूसी खुफिया एजेंसियों और चीनी साइबर आपराधिक समूहों के हाथों में पड़ गया, जिससे सैन्य-औद्योगिक साइबर हथियारों के रिसाव के जोखिम के बारे में चिंता बढ़ गई।

Google ने पिछले सप्ताह खुलासा किया था कि उसने 2025 में वैश्विक हमलों के कई दौरों में इस्तेमाल किए गए एक परिष्कृत iPhone आक्रमण टूलकिट की खोज की है। टूलकिट, जिसे इसके मूल डेवलपर्स द्वारा "कोरुना" नाम दिया गया था, में 23 अलग-अलग घटक शामिल हैं और इसका उपयोग पहले एक अनाम सरकारी ग्राहक द्वारा "अत्यधिक लक्षित संचालन" में किया गया था, फिर रूसी सरकार समर्थित जासूसों द्वारा यूक्रेनी लक्ष्यों की एक छोटी संख्या के खिलाफ, और अंततः चीनी साइबर अपराधियों द्वारा धन और क्रिप्टोकरेंसी चुराने के लिए बड़े पैमाने पर ऑपरेशन में किया गया था। मोबाइल सुरक्षा कंपनी iVerify के एक स्वतंत्र विश्लेषण से पता चला कि यह उपकरण संभवतः मूल रूप से एक ऐसी कंपनी द्वारा विकसित किया गया था जो अमेरिकी सरकार को उत्पाद बेचती है।
L3Harris की हैकिंग और निगरानी प्रौद्योगिकी शाखा ट्रेंचेंट में काम करने वाले दो पूर्व कर्मचारियों ने मीडिया को पुष्टि की कि कोरुना के कम से कम कुछ घटक ट्रेंचेंट द्वारा विकसित किए गए थे, और उन दोनों का कंपनी द्वारा विकसित iPhone अटैक टूल्स से सीधा संपर्क था। नाम न छापने का अनुरोध करने वाले दो लोगों ने कहा कि "कोरुना वास्तव में एक आंतरिक घटक का कोड नाम है" और कहा कि Google द्वारा बताए गए तकनीकी विवरण "बहुत परिचित" थे। पूर्व कर्मचारियों में से एक ने कहा कि कोरुना ट्रेंचेंट के समग्र टूलकिट में शामिल कई घटकों और कारनामों में से एक था।
सार्वजनिक जानकारी से पता चलता है कि L3Harris ट्रेंचेंट के माध्यम से अमेरिकी सरकार और उसके "फाइव आइज़" सहयोगियों को हैकिंग और निगरानी उपकरण बेचता है, जिसके ग्राहक संयुक्त राज्य अमेरिका, यूनाइटेड किंगडम, कनाडा, ऑस्ट्रेलिया और न्यूजीलैंड में खुफिया एजेंसियों तक सीमित हैं। इस आधार पर कि ग्राहक अत्यधिक प्रतिबंधित हैं, माना जाता है कि कोरुना को सबसे पहले किसी एक देश की खुफिया एजेंसी द्वारा खरीदा और इस्तेमाल किया गया था, और फिर किसी तरह से लीक हो गया और अन्य अभिनेताओं के हाथों में चला गया। यह स्पष्ट नहीं है कि उजागर कोरुना टूलसेट में कितना कोड सीधे L3Harris Trenchant से आता है।
कोरुना का अंतरराष्ट्रीय प्रसार प्रक्षेपवक्र ट्रेंचेंट के पूर्व महाप्रबंधक पीटर विलियम्स द्वारा साइबर हथियार लीक करने के मामले से काफी मिलता-जुलता है। सार्वजनिक रिकॉर्ड के अनुसार, 2022 और 2025 के मध्य के बीच, विलियम्स ने रूसी कंपनी ऑपरेशन ज़ीरो को आठ ट्रेंचेंट हमले के उपकरण बेचे, जिससे लगभग 1.3 मिलियन डॉलर की कमाई हुई। अमेरिकी सरकार ने उन पर "दुनिया भर के लाखों कंप्यूटरों और उपकरणों" पर हमला करने वाले उपकरणों को चुराने के लिए ट्रेंचेंट इंट्रानेट तक "पूर्ण पहुंच" का उपयोग करने का आरोप लगाया और इसे संयुक्त राज्य अमेरिका और उसके सहयोगियों के साथ "विश्वासघात" माना गया। विलियम्स को फरवरी में सात साल की जेल की सजा सुनाई गई थी, और ऑपरेशन ज़ीरो को अमेरिकी ट्रेजरी विभाग द्वारा मंजूरी दे दी गई थी।
अमेरिकी ट्रेजरी विभाग ने खुलासा किया कि ऑपरेशन ज़ीरो ने केवल रूसी सरकार और घरेलू कंपनियों के साथ काम करने का दावा किया था, लेकिन अधिकारियों ने निर्धारित किया कि इसने विलियम्स द्वारा चुराए गए उपकरण कम से कम "एक अनधिकृत उपयोगकर्ता" को बेच दिए। Google की जांच से पता चला कि रूसी जासूसी संगठन UNC6353 ने अज्ञात चैनलों के माध्यम से कोरुना प्राप्त किया और इसे विशिष्ट भौगोलिक स्थानों के उपयोगकर्ताओं को लक्षित करने के लिए समझौता की गई यूक्रेनी वेबसाइटों में प्रत्यारोपित किया, जो इन वेबसाइटों तक पहुंचने के लिए iPhones का उपयोग करते हैं। कुछ विश्लेषकों का मानना है कि ऑपरेशन ज़ीरो द्वारा इसे रूसी अधिकारियों को फिर से बेचने के बाद, यह अन्य दलालों, देशों या यहां तक कि सीधे साइबर आपराधिक समूहों को उपकरण फिर से बेचना जारी रख सकता है। अमेरिकी अभियोग में यह भी उल्लेख किया गया है कि रैंसमवेयर गिरोह ट्रिकबॉट के सदस्यों ने ऑपरेशन ज़ीरो के साथ सहयोग किया, ब्रोकर को वित्तीय लाभ चाहने वाले हैकर्स के नेटवर्क से जोड़ा।
अमेरिकी अभियोजकों के अनुसार, विलियम्स ने अपने द्वारा लिखे गए कोड को पहचान लिया और ऑपरेशन ज़ीरो को बेच दिया, जो बाद में एक दक्षिण कोरियाई बिचौलिए के हाथों में चला गया। यह इस बात का संभावित रास्ता भी प्रदान करता है कि कैसे कोरुना अंततः चीनी हैकरों के पास पहुंच गया: पुनर्विक्रय और कोड पुन: उपयोग के कई दौरों में, उपकरण धीरे-धीरे सरकारी खुफिया सर्कल से व्यापक हैकर पारिस्थितिकी तंत्र तक फैल गया।
Google शोधकर्ताओं ने बताया कि कोरुना में "फोटॉन" और "गैलियम" नाम के दो विशिष्ट शोषण घटकों का उपयोग "ऑपरेशन ट्रायंगुलेशन" ("ट्राएंगल ऑपरेशन") नामक एक परिष्कृत हमले के ऑपरेशन में शून्य-दिन की भेद्यता हथियार के रूप में किया गया था, जिसके बारे में माना जाता है कि यह रूस में iPhone उपयोगकर्ताओं को लक्षित कर रहा था। कैस्परस्की लैब ने पहली बार 2023 में ऑपरेशन ट्रायंगल का खुलासा किया था। iVerify के सह-संस्थापक रॉकी कोल ने कहा कि वर्तमान सार्वजनिक जानकारी के आधार पर, "सबसे उचित स्पष्टीकरण" यह है कि कोरुना के मूल डेवलपर और ग्राहक क्रमशः ट्रेंचेंट और अमेरिकी सरकार हैं, लेकिन उन्होंने इस बात पर जोर दिया कि यह निर्णय अभी "पूरी तरह से निर्णायक" नहीं है।
कोल का निर्णय तीन बिंदुओं पर आधारित है: पहला, कोरुना के उपयोग की समय-सीमा विलियम्स लीक मामले से अत्यधिक मेल खाती है; दूसरा, कोरुना में तीन प्रमुख मॉड्यूल, "प्लाज्मा", "फोटॉन" और "गैलियम" की संरचना, "ऑपरेशन ट्राइएंगल" में देखे गए मॉड्यूल के समान है; तीसरा, कोरुना कुछ आक्रमण कोडों का पुन: उपयोग करता है जिनका उपयोग उस ऑपरेशन में किया गया है। उन्होंने यह भी खुलासा किया कि "रक्षा समुदाय के करीबी लोगों" की जानकारी में दावा किया गया है कि "प्लाज्मा" मॉड्यूल का इस्तेमाल "ऑपरेशन ट्राएंगल" में भी किया गया था, लेकिन इसका समर्थन करने के लिए वर्तमान में कोई सार्वजनिक सबूत नहीं है। कोल स्वयं एक बार राष्ट्रीय सुरक्षा एजेंसी (एनएसए) के लिए काम करते थे।
Google और iVerify के तकनीकी विश्लेषण से पता चलता है कि कोरुना को iOS 13 से iOS 17.2.1 पर चलने वाले iPhone पर हमला करने के लिए डिज़ाइन किया गया है, जो सितंबर 2019 से दिसंबर 2023 तक जारी सिस्टम संस्करणों की एक श्रृंखला को कवर करता है। यह समय अवधि विलियम्स के लीक टूल की समयरेखा और ऑपरेशन ट्रायंगल की खोज के साथ भी मेल खाती है। ट्रेंचेंट के एक पूर्व कर्मचारी ने याद किया कि जब कास्परस्की ने पहली बार 2023 में "ऑपरेशन ट्राएंगल" का खुलासा किया था, तो कंपनी के भीतर कई लोगों का मानना था कि कैप्चर की गई शून्य-दिन की कमजोरियों में से कम से कम एक "हमसे आई" और हो सकता है कि उसे समग्र परियोजना से "छीन" लिया गया हो, जिसमें कोरुना भी शामिल था और उपयोग में लाया गया था।
सुरक्षा शोधकर्ता कॉस्टिन रायु ने सोशल प्लेटफॉर्म पर यह भी बताया कि कोरुना टूल के कई घटकों का नाम पक्षियों के नाम पर रखा गया है, जैसे कि कैसोवरी, टेररबर्ड, ब्लूबर्ड, जैकुरुटु, स्पैरो, आदि, जो कि ट्रेंचेंट की तकनीकी विरासत से संबंधित है। 2021 की शुरुआत में, वाशिंगटन पोस्ट ने बताया कि अज़ीमुथ, एक सुरक्षा कंपनी जिसे बाद में L3Harris द्वारा अधिग्रहित किया गया और ट्रेंचेंट में विलय कर दिया गया, ने FBI को कोंडोर नामक एक iPhone क्रैकिंग टूल बेच दिया, जिसका उपयोग प्रसिद्ध सैन बर्नार्डिनो शूटिंग में iPhone को अनलॉक करने के लिए किया गया था।
"ट्राएंगल ऑपरेशन" के उजागर होने के बाद, रूस की संघीय सुरक्षा सेवा (एफएसबी) ने अमेरिकी राष्ट्रीय सुरक्षा एजेंसी पर राजनयिकों जैसे लक्ष्यों पर ध्यान केंद्रित करते हुए, रूस में "हजारों आईफ़ोन" को हैक करने के लिए उपकरण का उपयोग करने का आरोप लगाया। कास्परस्की ने उस समय कहा था कि वह एफएसबी के आरोपों के विवरण से अवगत नहीं था, लेकिन बताया कि रूस के राष्ट्रीय साइबर घटना समन्वय केंद्र (एनसीसीसीआई) द्वारा प्रकट किए गए "समझौता संकेतक" उन सबूतों के अनुरूप थे जिन्हें कास्परस्की ने पहले पहचाना था। हालाँकि, कैस्परस्की सुरक्षा शोधकर्ता बोरिस लारिन ने कहा कि व्यापक शोध के बाद भी, "ऑपरेशन ट्राएंगल" को अभी भी किसी ज्ञात उन्नत लगातार खतरे (एपीटी) समूह या भेद्यता विकास कंपनी के लिए जिम्मेदार नहीं ठहराया जा सकता है।
लारिन ने बताया कि Google ने कोरुना को ऑपरेशन ट्राइएंगल के साथ इसलिए जोड़ा क्योंकि दोनों ने समान कमजोरियों, फोटॉन और गैलियम का फायदा उठाया। हालाँकि, अकेले भेद्यता को साझा करना पूर्ण आरोपण के लिए पर्याप्त नहीं है, क्योंकि इन दो कमजोरियों का विवरण लंबे समय से सार्वजनिक है, और कोई भी पार्टी इसके आधार पर अपनी स्वयं की आक्रमण श्रृंखला विकसित कर सकती है। उन्होंने इस बात पर जोर दिया कि ये दो सामान्य कमजोरियाँ "सिर्फ हिमशैल का सिरा" हैं। गौरतलब है कि हालांकि कास्परस्की ने कभी भी सार्वजनिक रूप से अमेरिकी सरकार पर ऑपरेशन ट्राइएंगल के पीछे होने का आरोप नहीं लगाया है, लेकिन इस ऑपरेशन के लिए कंपनी द्वारा डिजाइन किए गए कई त्रिकोणों से बना ऐप्पल लोगो दृश्यमान रूप से L3Harris के ब्रांड लोगो के समान है। कुछ लोगों का मानना है कि यह एक "दृश्य संकेत" तकनीक है जिसका उपयोग आमतौर पर कैस्परस्की द्वारा किया जाता है।
कास्परस्की की पिछली प्रथाएँ इस अटकल की पुष्टि करती प्रतीत होती हैं। 2014 में, कंपनी ने "केरेटो" (जिसका अर्थ है "मास्क") नामक एक उच्च-स्तरीय सरकारी हैकर समूह का खुलासा किया। इसमें केवल यह उल्लेख किया गया था कि हमलावर स्पेनिश में थे, लेकिन रिपोर्ट में इस्तेमाल किए गए मुखौटे के चित्रण में स्पेनिश ध्वज के लाल और पीले रंग, बैल के सींग, नाक के छल्ले, कास्टनेट और अन्य तत्व शामिल थे, जिससे यह माना जाता था कि हमलावर स्पेनिश सरकार से संबंधित थे। जैसा कि बाद की रिपोर्टों में कास्परस्की के अंदरूनी सूत्रों के हवाले से कहा गया था, अनुसंधान टीम ने निजी तौर पर माना कि इसमें "कोई संदेह नहीं" था कि कैरेटो स्पेनिश सरकार के नेतृत्व में एक ऑपरेशन था।
कोरुना से जुड़े विवाद ने भी मीडिया ट्रैकिंग को जारी रखने के लिए प्रेरित किया है। साइबर सुरक्षा रिपोर्टर पैट्रिक ग्रे ने इस सप्ताह के पॉडकास्ट "रिस्की बिजनेस" पर कहा कि विलियम्स ने "खंडित खुफिया जानकारी" के आधार पर "ऑपरेशन ट्राइएंगल" में इस्तेमाल किए गए बिल्कुल उसी हमले के ढांचे को ऑपरेशन ज़ीरो को बेच दिया, जो उनके पास था और इसके बारे में आश्वस्त थे। फिलहाल एप्पल, गूगल, कैस्परस्की और ऑपरेशन ज़ीरो ने इस मुद्दे पर सार्वजनिक रूप से कोई प्रतिक्रिया नहीं दी है।